MAC flooding
Da Wikipedia, l'enciclopedia libera.
Il MAC flooding (detto anche Switch flooding e impropriamente ARP flooding) è una tecnica che consiste nell'inviare ad uno switch pacchetti appositamente costruiti per riempire la CAM table dello switch, che associa un indirizzo MAC alla porta a cui questo è collegato, di indirizzi MAC fittizi.
Questo attacco costringe lo switch ad entrare in una condizione detta di fail open che lo fa comportare come un hub, inviando così gli stessi dati a tutti gli apparati ad esso collegati. Non tutti gli switch optano per questa configurazione quando sono sottoposti a quest'attacco. Alcuni infatti entrano in uno stato di blocco, impedendo il passaggio del traffico.
Un'interfaccia di rete in modalità promiscua, cioè impostata in modo da leggere anche il traffico che dovrebbe ignorare perché non diretta a lei, diventa così in grado di intercettare tutte le comunicazioni che attraversano lo switch, avendo accesso al traffico che non dovrebbe nemmeno transitare sul suo segmento di rete.
Causare una condizione di fail open in uno switch è in genere il primo passo da parte di un attaccante per altri fini, tipicamente effettuare sniffing o un man in the middle.
Tool che causano un MAC flooding sono macof della suite dsniff, taranis e Ettercap.
Una contromisura efficace al MAC flooding è l'utilizzo della caratteristica di "port security" sugli switch Cisco, "packet filtering" sugli switch 3Com o di servizi equivalenti negli switch di altri produttori.
