Tabla de Contenido
Revisão da operação do interruptor
Neste tópico, o foco ainda está nos switches, especificamente em suas tabelas de endereços MAC e em como essas tabelas são vulneráveis a ataques.
Lembre-se de que, para tomar decisões de encaminhamento, um switch de LAN da Camada 2 constrói uma tabela com base nos endereços MAC de origem nos quadros recebidos. Mostrado na figura, isso é chamado de tabela de endereços MAC. As tabelas de endereços MAC são armazenadas na memória e usadas para encaminhar quadros com mais eficiência.
S1# show mac address-table dynamic
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0001.9717.22e0 DYNAMIC Fa0/4
1 000a.f38e.74b3 DYNAMIC Fa0/1
1 0090.0c23.ceca DYNAMIC Fa0/3
1 00d0.ba07.8499 DYNAMIC Fa0/2
S1#
Inundação da Tabela de Endereços MAC
Todas as tabelas MAC têm um tamanho fixo e, conseqüentemente, um switch pode ficar sem recursos para armazenar endereços MAC. Os ataques de inundação de endereço MAC tiram proveito dessa limitação bombardeando o switch com endereços MAC de origem falsos até que a tabela de endereços MAC do switch esteja cheia.
Quando isso ocorre, o switch trata o quadro como um unicast desconhecido e começa a inundar todo o tráfego de entrada por todas as portas na mesma VLAN sem fazer referência à tabela MAC. Essa condição agora permite que um agente de ameaça capture todos os quadros enviados de um host para outro na LAN local ou VLAN local.
Nota: O tráfego é inundado apenas na LAN ou VLAN local. O agente da ameaça só pode capturar o tráfego dentro da LAN ou VLAN local à qual o agente da ameaça está conectado.
A figura mostra como um agente de ameaça pode usar facilmente a ferramenta de ataque à rede macof para estourar uma tabela de endereços MAC.
- O ator da ameaça está conectado à VLAN 10 e usa o macof para gerar rapidamente muitos endereços MAC e IP de origem e destino aleatórios.
- Em um curto período de tempo, a tabela MAC do switch se enche.
- Quando a tabela MAC está cheia, o switch começa a inundar todos os quadros que recebe. Enquanto o macof continuar em execução, a tabela MAC permanecerá cheia e o switch continuará a inundar todos os quadros de entrada de todas as portas associadas à VLAN 10.
- O ator da ameaça então usa o software de detecção de pacotes para capturar quadros de todos e quaisquer dispositivos conectados à VLAN 10.
Se o agente da ameaça interromper a execução do macof ou for descoberto e interrompido, o switch eventualmente envelhece as entradas de endereço MAC mais antigas da tabela e começa a agir como um switch novamente.
Mitigação de ataques da tabela de endereços MAC
O que torna ferramentas como o macof tão perigosas é que um invasor pode criar um ataque de estouro de tabela MAC muito rapidamente. Por exemplo, um switch Catalyst 6500 pode armazenar 132.000 endereços MAC em sua tabela de endereços MAC. Uma ferramenta como o macof pode inundar um switch com até 8.000 quadros falsos por segundo; criando um ataque de estouro de tabela de endereços MAC em questão de alguns segundos. O exemplo mostra uma saída de amostra do comando macof em um host Linux.
# macof -i eth1
36:a1:48:63:81:70 15:26:8d:4d:28:f8 0.0.0.0.26413 > 0.0.0.0.49492: S 1094191437:1094191437(0) win 512
16:e8:8:0:4d:9c da:4d:bc:7c:ef:be 0.0.0.0.61376 > 0.0.0.0.47523: S 446486755:446486755(0) win 512
18:2a:de:56:38:71 33:af:9b:5:a6:97 0.0.0.0.20086 > 0.0.0.0.6728: S 105051945:105051945(0) win 512
e7:5c:97:42:ec:1 83:73:1a:32:20:93 0.0.0.0.45282 > 0.0.0.0.24898: S 1838062028:1838062028(0) win 512
62:69:d3:1c:79:ef 80:13:35:4:cb:d0 0.0.0.0.11587 > 0.0.0.0.7723: S 1792413296:1792413296(0) win 512
c5:a:b7:3e:3c:7a 3a:ee:c0:23:4a:fe 0.0.0.0.19784 > 0.0.0.0.57433: S 1018924173:1018924173(0) win 512
88:43:ee:51:c7:68 b4:8d:ec:3e:14:bb 0.0.0.0.283 > 0.0.0.0.11466: S 727776406:727776406(0) win 512
b8:7a:7a:2d:2c:ae c2:fa:2d:7d:e7:bf 0.0.0.0.32650 > 0.0.0.0.11324: S 605528173:605528173(0) win 512
e0:d8:1e:74:1:e 57:98:b6:5a:fa:de 0.0.0.0.36346 > 0.0.0.0.55700: S 2128143986:2128143986(0) win 512
Outra razão pela qual essas ferramentas de ataque são perigosas é porque elas não afetam apenas o switch local, mas também podem afetar outros switches da Camada 2 conectados. Quando a tabela de endereços MAC de um switch está cheia, ele começa a inundar todas as portas, incluindo aquelas conectadas a outros switches da Camada 2.
Para atenuar os ataques de estouro da tabela de endereços MAC, os administradores de rede devem implementar a segurança da porta. A segurança da porta só permitirá que um determinado número de endereços MAC de origem sejam aprendidos na porta. A segurança da porta é discutida posteriormente em outro módulo.