Conmutadores, concentradores y difusión
En las redes Ethernet de estilo antiguo conectadas con un hub, todos los paquetes se transmitían a todas las estaciones de la red. Esta es también la forma en que las redes inalámbricas suelen actuar en la actualidad.
Pero para mejorar el rendimiento de la red, los switches han reemplazado en gran medida a hubs en las estaciones de conexión. Una vez que un conmutador ve un paquete que se origina en uno de sus puertos físicos, toma nota de la dirección MAC del remitente. A partir de ese momento, el tráfico dirigido a esa dirección MAC solo se enviará por ese único cable, y ninguno de los otros.
Esta disposición de conexión reduce drásticamente la cantidad de tráfico visible para un oyente subrepticio. En lugar de ver el tráfico todo en la red, el oyente solo verá el tráfico de difusión y el tráfico que no está dirigido hacia un MAC que el conmutador conoce.
Solución alternativa y problemas adicionales
Esto no hace imposible la falsificación de MAC; un usuario puede ver las tramas de transmisión (como los paquetes ARP) para ver qué MAC están permitidos en la red. Pero una vez que el atacante comienza a usar un MAC robado, el efecto sobre el interruptor se vuelve algo impredecible y, por lo general, muy inestable.
Dado que la política en el conmutador solo es enviar tráfico por el cable desde el cual se vio la dirección MAC recientemente, y dado que dos estaciones reclaman el mismo MAC, el comportamiento del conmutador se vuelve indefinido. Si bien los diferentes interruptores manejan esta situación de manera diferente, normalmente lo que verá es parte del tráfico va a una computadora y parte de la otra , dependiendo de cuál habló por última vez. Combine esto con los requisitos de continuidad y acuse de recibo de TCP, y esto se traduce en una conexión prácticamente inutilizable para las partes ambas .
Mitigación adicional
Para hacer las cosas aún más difíciles para un atacante, los "Switches administrados", que generalmente se encuentran en las instalaciones de redes de alto nivel, pueden usar más que el algoritmo ingenuo mencionado anteriormente para enrutar el tráfico de Ethernet. En lugar de determinar el enrutamiento de la dirección MAC a través de la escucha, un administrador puede preconfigurarlo para que sepa que una dirección MAC determinada debe residir. Esto significa que un atacante no solo tendrá que encontrar una dirección MAC válida, sino que también tendrá que enchufar su dispositivo en el mismo enchufe físico donde se encontró el dispositivo válido. Conecte su dispositivo a cualquier otro zócalo y simplemente no funcionará.