10.4 MAC Address Table Attack
Как switch обычно работает
Switch учит source MAC addresses из incoming frames и заполняет MAC address table.
Это позволяет ему:
- forward’ить traffic точечно;
- не flood’ить всё подряд;
- работать как нормальный switch, а не как hub.
show mac address-table dynamicshow mac address-table dynamic ciscoIOScommand
Показывает текущие dynamically learned MAC entries.
MAC address table flooding
У MAC table конечный размер.
Если attacker засыпает switch большим количеством fake source MAC addresses, table переполняется.
Когда table full:
- switch перестаёт нормально знать, где destination;
- unknown unicast traffic начинает flood’иться;
- attacker может sniff’ить frames внутри local VLAN.
Это и есть MAC flooding / MAC table overflow attack.
MAC flooding — атака переполнения MAC table фальшивыми MAC addresses. networkterm unknown unicast flooding — рассылка unicast frame по всем relevant ports, если switch не знает destination MAC. networkterm
Почему это опасно
Главная цель — сделать switch “глупее”, ближе к hub behavior.
Тогда attacker может:
- видеть traffic других hosts;
- sniff sensitive information;
- расширить visibility внутри VLAN.
Модуль отдельно подчёркивает:
- flooding идёт внутри local LAN/VLAN;
- атака особенно опасна для трафика в том же broadcast domain.
Attack tool
Модуль упоминает tool:
macof
macof — attack tool, которая быстро генерирует bogus MAC/IP traffic для MAC table flooding. networkterm
Mitigation
Основное средство защиты:
Port Security
То есть switch port должен ограничивать:
- сколько source MAC addresses можно выучить;
- какие MAC вообще разрешены.
Exam trap
MAC flooding не “ломает routing”. Он прежде всего заставляет switch flood’ить Layer 2 traffic.
Как быстро запомнить
Fill the MAC table -> switch starts flooding
Если понял тему
Ты можешь объяснить, почему переполнение MAC table превращает switch в почти-hub и почему для защиты нужен
Port Security.