¿Qué tipo de ataque de red convierte un conmutador en un concentrador?

35

Leí hoy un artículo que describe cómo un probador de penetración pudo demostrar la creación de una cuenta bancaria falsa con un saldo de $ 14 millones. Sin embargo, un párrafo que describe el ataque se destacó:

Luego "inundó" los conmutadores, pequeñas cajas que dirigen el tráfico de datos, para abrumar la red interna del banco con datos. Ese tipo de ataque convierte el interruptor en un "centro" que transmite datos de manera indiscriminada.

No estoy familiarizado con el efecto que se describe. ¿Es realmente posible forzar un cambio para transmitir tráfico a todos sus puertos enviando cantidades masivas de tráfico? ¿Qué está pasando exactamente en esta situación?

switch security Lucas
fuente
Algunos otros detalles en esta publicación / respuesta: serverfault.com/questions/345670/… .
jfg956

Respuestas:

62

Esto se llama inundación MAC . Una "dirección MAC" es una dirección de hardware Ethernet. Un conmutador mantiene una tabla CAM que asigna direcciones MAC a puertos.

Si un conmutador tiene que enviar un paquete a una dirección MAC que no está en su tabla CAM, lo inunda a todos los puertos tal como lo hace un concentrador. Entonces, si inunda un conmutador con una mayor cantidad de direcciones MAC, forzará las entradas de direcciones MAC legítimas fuera de la tabla CAM y su tráfico se inundará en todos los puertos.

David Schwartz
fuente
2
¿El interruptor hace algo para evitar o limitar esto?
TheLQ
17
Normalmente no, pero ese no es su trabajo. El trabajo de un conmutador es facilitar la comunicación entre nodos en una LAN, no implementar una política de seguridad o filtrar información. Los interruptores hacen esto por accidente como consecuencia de hacer las cosas más rápidas y las personas, tontamente, piensan en esto como seguridad. (Lo mismo sucede con NAT.) La seguridad proporcionada "accidentalmente" como consecuencia de hacer otra cosa nunca debe considerarse seguridad real. Hay conmutadores seguros y administrados que brindan seguridad, al igual que hay implementaciones de NAT que también incluyen firewalls reales.
David Schwartz
8

Esto se llama inundación MAC y hace uso del hecho de que las tablas CAM de los interruptores son de longitud limitada. Si se desbordan, un conmutador se convierte en un concentrador y envía cada paquete a cada puerto, lo que rápidamente puede detener una red.

Editado para corregir la terminología incorrecta.

Sven
fuente
1
SvW probablemente significó la tabla de direcciones MAC, que asigna direcciones MAC a puertos físicos. La mayoría de los conmutadores asignan una cantidad limitada de memoria para esto, y un atacante puede agotarlo fácilmente enviando marcos desde direcciones MAC suplantadas al azar. Esto provocaría que el conmutador inunde tramas a todos los puertos para cualquier dirección MAC de destino que aún no esté en la tabla. Afortunadamente, esto se puede mitigar limitando el número de MAC que pueden aparecer en un puerto determinado.
James Sneeringer
Concepto correcto, terminología incorrecta ... Lo suficientemente cerca para un +1 de mi parte.
Chris S
@ChrisS: Eso ya estaba en la pregunta. Todo lo que agregó la respuesta fue incorrecto.
David Schwartz
1
@DavidSchwartz: Bueno, edité dos palabras donde obviamente mezclé terminología y ahora la respuesta es completamente correcta. Francamente, esa habría sido una gran oportunidad para usar la función de edición del sitio usted mismo. En cambio, las personas (no necesariamente usted) lo usan para reemplazar "teh" con "the" en una publicación de 2 años ...
Sven
@SvW: No pensé que fuera obvio que acababa de utilizar la terminología incorrecta, que los interruptores tienen algo que ver con ARP, en realidad es un malentendido funcional muy común. No considero apropiado usar "editar" para cambiar completamente la respuesta de otra persona, incluso de incorrecta a correcta. (Tal vez esa es una mala política de mi parte. Buscaré en meta y veré si estoy fuera de la corriente principal en esa vista.)
David Schwartz
0

Como se ha explicado anteriormente, la tabla MAC del conmutador está 'envenenada' con direcciones mac falsas. Esto es fácil de hacer con el macofprograma desde el dsniffconjunto de herramientas. Advertencia: intente esto solo con fines educativos en su propia red, de lo contrario, se encontrará con graves problemas legales.

http://www.monkey.org/~dugsong/dsniff/

Floyd
fuente