Ataque de tabela de endereços MAC
Ataque de tabela de endereços MAC

Ataque de Tabela de Endereços MAC

[note note_color=”#21ab5136″ text_color=”#2c2c2d” radius=”3″ class=”” id=””]Bem-vindo: este tópico faz parte do Capítulo 10 do curso Cisco CCNA 2, para um melhor acompanhamento do curso você pode ir para a seção CCNA 2 para orientá-lo durante um pedido.[/note]

Revisão da operação do interruptor

Neste tópico, o foco ainda está nos switches, especificamente em suas tabelas de endereços MAC e em como essas tabelas são vulneráveis a ataques.

Lembre-se de que, para tomar decisões de encaminhamento, um switch de LAN da Camada 2 constrói uma tabela com base nos endereços MAC de origem nos quadros recebidos. Mostrado na figura, isso é chamado de tabela de endereços MAC. As tabelas de endereços MAC são armazenadas na memória e usadas para encaminhar quadros com mais eficiência.

S1# show mac address-table dynamic
          Mac Address Table
-------------------------------------------
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    0001.9717.22e0    DYNAMIC     Fa0/4
   1    000a.f38e.74b3    DYNAMIC     Fa0/1
   1    0090.0c23.ceca    DYNAMIC     Fa0/3
   1    00d0.ba07.8499    DYNAMIC     Fa0/2
S1#

Inundação da Tabela de Endereços MAC

Todas as tabelas MAC têm um tamanho fixo e, conseqüentemente, um switch pode ficar sem recursos para armazenar endereços MAC. Os ataques de inundação de endereço MAC tiram proveito dessa limitação bombardeando o switch com endereços MAC de origem falsos até que a tabela de endereços MAC do switch esteja cheia.

Quando isso ocorre, o switch trata o quadro como um unicast desconhecido e começa a inundar todo o tráfego de entrada por todas as portas na mesma VLAN sem fazer referência à tabela MAC. Essa condição agora permite que um agente de ameaça capture todos os quadros enviados de um host para outro na LAN local ou VLAN local.

Nota: O tráfego é inundado apenas na LAN ou VLAN local. O agente da ameaça só pode capturar o tráfego dentro da LAN ou VLAN local à qual o agente da ameaça está conectado.

A figura mostra como um agente de ameaça pode usar facilmente a ferramenta de ataque à rede macof para estourar uma tabela de endereços MAC.

Inundação da Tabela de Endereços MAC
  1. O ator da ameaça está conectado à VLAN 10 e usa o macof para gerar rapidamente muitos endereços MAC e IP de origem e destino aleatórios.
  2. Em um curto período de tempo, a tabela MAC do switch se enche.
  3. Quando a tabela MAC está cheia, o switch começa a inundar todos os quadros que recebe. Enquanto o macof continuar em execução, a tabela MAC permanecerá cheia e o switch continuará a inundar todos os quadros de entrada de todas as portas associadas à VLAN 10.
  4. O ator da ameaça então usa o software de detecção de pacotes para capturar quadros de todos e quaisquer dispositivos conectados à VLAN 10.

Se o agente da ameaça interromper a execução do macof ou for descoberto e interrompido, o switch eventualmente envelhece as entradas de endereço MAC mais antigas da tabela e começa a agir como um switch novamente.

Mitigação de ataques da tabela de endereços MAC

O que torna ferramentas como o macof tão perigosas é que um invasor pode criar um ataque de estouro de tabela MAC muito rapidamente. Por exemplo, um switch Catalyst 6500 pode armazenar 132.000 endereços MAC em sua tabela de endereços MAC. Uma ferramenta como o macof pode inundar um switch com até 8.000 quadros falsos por segundo; criando um ataque de estouro de tabela de endereços MAC em questão de alguns segundos. O exemplo mostra uma saída de amostra do comando macof em um host Linux.

# macof -i eth1
36:a1:48:63:81:70 15:26:8d:4d:28:f8 0.0.0.0.26413 > 0.0.0.0.49492: S 1094191437:1094191437(0) win 512 
16:e8:8:0:4d:9c da:4d:bc:7c:ef:be 0.0.0.0.61376 > 0.0.0.0.47523: S 446486755:446486755(0) win 512 
18:2a:de:56:38:71 33:af:9b:5:a6:97 0.0.0.0.20086 > 0.0.0.0.6728: S 105051945:105051945(0) win 512 
e7:5c:97:42:ec:1 83:73:1a:32:20:93 0.0.0.0.45282 > 0.0.0.0.24898: S 1838062028:1838062028(0) win 512 
62:69:d3:1c:79:ef 80:13:35:4:cb:d0 0.0.0.0.11587 > 0.0.0.0.7723: S 1792413296:1792413296(0) win 512 
c5:a:b7:3e:3c:7a 3a:ee:c0:23:4a:fe 0.0.0.0.19784 > 0.0.0.0.57433: S 1018924173:1018924173(0) win 512 
88:43:ee:51:c7:68 b4:8d:ec:3e:14:bb 0.0.0.0.283 > 0.0.0.0.11466: S 727776406:727776406(0) win 512 
b8:7a:7a:2d:2c:ae c2:fa:2d:7d:e7:bf 0.0.0.0.32650 > 0.0.0.0.11324: S 605528173:605528173(0) win 512 
e0:d8:1e:74:1:e 57:98:b6:5a:fa:de 0.0.0.0.36346 > 0.0.0.0.55700: S 2128143986:2128143986(0) win 512

Outra razão pela qual essas ferramentas de ataque são perigosas é porque elas não afetam apenas o switch local, mas também podem afetar outros switches da Camada 2 conectados. Quando a tabela de endereços MAC de um switch está cheia, ele começa a inundar todas as portas, incluindo aquelas conectadas a outros switches da Camada 2.

Para atenuar os ataques de estouro da tabela de endereços MAC, os administradores de rede devem implementar a segurança da porta. A segurança da porta só permitirá que um determinado número de endereços MAC de origem sejam aprendidos na porta. A segurança da porta é discutida posteriormente em outro módulo.