En un cambio reciente, ¿la inundación de mac sigue siendo una vulnerabilidad a tener en cuenta? Si ese ataque está parchado en la mayoría de ellos, ¿en qué tipo de interruptor aún es vulnerable?
Sí, esto sigue siendo una amenaza y es por esto que:
La inundación de MAC se basa en el desbordamiento de la CAM Table (Memoria de acceso al contenido). La tabla CAM asigna puertos físicos a las direcciones MAC. La tabla CAM tiene un tamaño limitado y si logra exceder ese tamaño, el switch ya no puede asignar nuevas direcciones MAC a un puerto físico. En esta situación, el interruptor puede hacer una de tres cosas:
Vaya al modo Fail Open , que convierte el interruptor en un concentrador, lo que significa que todos pueden ver todo. Uno podría entonces oler el tráfico de todos los clientes conectados.
Vaya al modo Fail Off , lo que hace que el conmutador mantenga las direcciones MAC existentes en la tabla CAM, pero no agregará nuevas, lo que hará que los nuevos clientes queden bloqueados. red.
El conmutador utiliza la tabla CAM como una memoria de anillo, lo que significa que las direcciones que no se han visto durante el período más largo se caen. Esta puede ser una solución práctica para los conmutadores domésticos porque es poco probable que conecte algunos miles de hosts a un enrutador DSL
También tuve una situación en la que un interruptor se bloqueó por completo después de que causé un desbordamiento de la tabla CAM. Pero este fue un cambio relativamente barato para que el ambiente del hogar fuera honesto.
Aunque esta vulnerabilidad es un tipo de sistema inherente, no se puede arreglar como otras vulnerabilidades inherentes del sistema. Puede evitarlo utilizando seguridad de puertos , que le sugiero que haga. Si eres el atacante en un pentest, puedes atacar esta vulnerabilidad usando la herramienta macoff
, que genera un montón de Los paquetes Ethernet con direcciones MAC generadas aleatoriamente para provocar un desbordamiento en la tabla CAM.
Lo probé con éxito en algunos switches Cisco, un switch Netgear y algunos switches de escritorio habituales.
Lea otras preguntas en las etiquetas network mac-address flooding