Colasoft Blog - Comment détecter MAC Flooding attaque dans votre réseau local
Comment détecter MAC Flooding attaque dans votre réseau local?
Lors d'une attaque d'inondation MAC typique, un commutateur est inondé de paquets, chacun contenant des adresses MAC source. Le commutateur enregistre ces adresses à sa table CAM. Lorsque la table est pleine, l'interrupteur ne peut pas regarder le port de destination droit, mais de diffuser sur tous les ports. pourrait alors un utilisateur malveillant utiliser un renifleur de paquets en cours d'exécution en mode promiscuous pour capturer des données sensibles à partir d'autres ordinateurs, qui ne seraient pas accessibles étaient le commutateur fonctionne normalement.
Comment détecter s'il y a une attaque d'inondation MAC dans le réseau? Dans cet article, je vais vous démontrer avec Colasoft Capsa Analyzer.
Nous devons vérifier les adresses du NOD EXPLORER. Ouvrez l'explorateur physique, et regardez ce nombre; il y a plus de 1800 adresses MAC dans le segment local. Il est anormal; il n'y a aucun moyen que tant de machines existent dans ce réseau. Et apparemment, ces adresses ne sont pas réels. Nous sommes sûrs qu'il ya des activités à vis sans fin, ou des attaques du réseau.
Voyons comment ces nœuds sont communicants. Ouvrez l'onglet MATRIX. Et nous choisissons le type de matrice de nœud physique Top 1000. Nous voyons cette matrice, quel gâchis! Il y a autant de noeuds de communication, et en fonction des couleurs de la ligne, des moyens rouges une transmission à sens unique.
Et nous pouvons aller à la CONVERSATION PHYSIQUE TAB à lire que c'est vrai. Presque tous les nœuds envoient un seul paquet sur. La plupart des paquets sont 64 octets.
Nous savons que toutes les machines de notre réseau sont connectés à un commutateur. Cela ressemble à une attaque d'inondation MAC.
Pourtant, pour confirmer notre prévision, nous avons besoin de voir les données originales des paquets qu'ils envoient. Ouvrez le PAQUET TAB. Nous voyons le temps delta entre les paquets est très faible, ce qui donne une grande pression sur l'interrupteur. Presque tous les paquets sont 64 octets. Et regardons les données d'origine dans les paquets. Presque tous les paquets sont générés au hasard par foulardage mêmes chiffres dans les paquets.
