Saya membaca sebuah artikel hari ini yang menggambarkan bagaimana seorang penguji penetrasi mampu menunjukkan pembuatan rekening bank palsu dengan saldo $ 14 juta. Namun, satu paragraf yang menggambarkan serangan itu menonjol:
Kemudian dia "membanjiri" switch - kotak kecil yang mengarahkan lalu lintas data - untuk membanjiri jaringan internal bank dengan data. Serangan semacam itu mengubah saklar menjadi "hub" yang menyiarkan data tanpa pandang bulu.
Saya tidak terbiasa dengan efek yang dijelaskan. Apakah benar-benar mungkin untuk memaksa saklar untuk menyiarkan lalu lintas ke semua port-nya dengan mengirimkan sejumlah besar lalu lintas? Apa sebenarnya yang terjadi dalam situasi ini?
Jawaban:
Ini disebut MAC flooding . "Alamat MAC" adalah alamat perangkat keras Ethernet. Switch mempertahankan tabel CAM yang memetakan alamat MAC ke port.
Jika sebuah switch harus mengirim paket ke alamat MAC yang tidak ada dalam tabel CAM-nya, itu akan membanjiri paket itu ke semua port seperti halnya hub. Jadi jika Anda membanjiri switch dengan jumlah alamat MAC yang lebih besar, Anda akan memaksa entri alamat MAC yang sah keluar dari tabel CAM dan lalu lintas mereka akan dibanjiri ke semua port.
sumber
Ini disebut MAC flooding dan memanfaatkan fakta bahwa tabel CAM switch memiliki panjang yang terbatas. Jika overflow, switch berubah menjadi hub dan mengirimkan setiap paket ke setiap port, yang dengan cepat dapat menggiling jaringan hingga berhenti.
Diedit untuk memperbaiki terminologi yang salah.
sumber
Seperti yang telah dijelaskan di atas, tabel MAC switch 'diracuni' dengan alamat mac palsu. Ini mudah dilakukan dengan
macof
program daridsniff
serangkaian alat. Peringatan: hanya coba ini untuk tujuan pendidikan di jaringan Anda sendiri, kalau tidak Anda akan mendapat masalah hukum yang mendalam!http://www.monkey.org/~dugsong/dsniff/
sumber