Comment détecter un Mac Flooding attaque
Depuis le début de l'Internet, nous avons été confrontés à des menaces toujours croissantes qui peuvent affecter la stabilité et la facilité d'utilisation de votre réseau.
Aujourd'hui, nos entreprises comptent sur leurs réseaux et Internet de plus en plus, mais comment pouvons-nous éviter d'être attaqués par des pirates?
Pour vaincre ces attaques, nous devons bien comprendre comment ils fonctionnent. La première étape consiste à détecter les attaques en temps réel.
Prenons une attaque d'inondation Mac par exemple ici:
Quelle est MAC attaque d'inondation?
Dans le jargon de réseau informatique, les inondations MAC est une technique employée pour compromettre la sécurité des commutateurs de réseau.
Les commutateurs maintiennent une liste (appelée CAM Table) qui associe les adresses MAC individuelles sur le réseau aux ports physiques du commutateur.
Cela lui permet d'envoyer uniquement des données sur le port physique où se trouve l'ordinateur du destinataire, au lieu de diffuser sans discernement les données sur tous les ports comme un hub.
L'avantage de cette méthode est que les données ne sont acheminés vers le segment de réseau contenant l'ordinateur, les données sont spécifiquement destiné.
Lors d'une attaque d'inondation MAC typique, un commutateur est inondé de paquets, chacun contenant des adresses MAC source. L'intention est de consommer la mémoire limitée mis de côté dans le commutateur pour stocker la table de traduction d'adresse de port à MAC physique.
Le résultat de cette attaque provoque le passage à entrer dans un état appelé « le mode failopen », dans lequel tous les paquets entrants sont diffusés sur tous les ports (comme une plaque tournante), au lieu de simplement sur le port correct selon un fonctionnement normal.
Certains commutateurs plus avancés, tels que ceux de Nortel, Cisco ou Allied Telesis vous donne l'occasion de mettre en place une protection contre cette attaque avec la limitation et / ou certaines adresses MAC Hardwiring à un port dédié.
Vous pouvez également définir la politique que si un port reçoit trop d'adresses MAC, la valeur par défaut est de fermer le port vers le bas, et générer un message de journal.
Comment détecter MAC Flooding attaque
Maintenant, je vais montrer le processus pour vous avec Colasoft Capsa Analyzer.
Comment ce petit réseau pourrait avoir autant de machines?
Nous devons vérifier les adresses du NOD EXPLORER. Ouvrez l'explorateur physique, et regardez ce nombre; il y a plus de 1800 adresses MAC dans le segment local. Il est anormal, il n'y a aucun moyen que tant de machines existent dans ce réseau.
Et apparemment, ces adresses ne sont pas réels. Nous sommes sûrs qu'il ya des activités à vis sans fin, ou des attaques du réseau.
Voyons comment ces nœuds sont communicants. Ouvrez l'onglet MATRIX. Choisissez Top 1000 type de matrice de noeud physique. Nous voyons cette matrice, quel gâchis! Il y a autant de noeuds de communication, et en fonction des couleurs de la ligne, des moyens rouges une transmission à sens unique.
Et nous pouvons aller à la CONVERSATION PHYSIQUE TAB à lire que c'est vrai. Presque tous les nœuds envoient un seul paquet sur. La plupart des paquets sont 64 octets.
Nous savons que toutes les machines de notre réseau sont connectés à un commutateur. Cela ressemble à une attaque d'inondation MAC.
Pourtant, pour confirmer notre prévision, nous avons besoin de voir les données originales des paquets qu'ils envoient. Ouvrez le PAQUET TAB. Nous voyons le temps delta entre les paquets est très faible, ce qui donne une grande pression sur l'interrupteur.
Presque tous les paquets sont 64 octets. Et regardons les données d'origine dans les paquets. Presque tous les paquets sont générés au hasard par foulardage mêmes chiffres dans les paquets.
Cependant, nous pouvons couper certaines machines hors du réseau pour éliminer les machines innocentes jusqu'à trouver la destination.
Détecter les attaques dans le temps est la première étape et la plus importante pour sécuriser notre réseau, avec les outils de renifleur de paquets tels que Colasoft Capsa, nous pouvons travailler plus efficacement.
Nous allons discuter de la façon de détecter et de vaincre les autres attaques prochaine fois.
Les opinions exprimées dans cet article sont les opinions de l'île Infosec membre qui a affiché ce contenu. Infosec Island n'est pas responsable du contenu ou de la messagerie de ce poste.
Toute reproduction non autorisée de cet article (en tout ou en partie) est interdite sans l'autorisation écrite expresse de l'île Infosec et le membre Île Infosec qui a affiché ce contenu - ce qui inclut l'aide de notre flux RSS à des fins autres que l'usage personnel.