A kapcsoló alapbeállításai nem védenek a rosszindulatú támadások ellen. A biztonság egy rétegekbe rendezett folyamat, amely lényegében soha nem teljes. Cél, hogy egy szervezet hálózati szakemberei minél inkább tisztában legyenek a biztonsági támadásokkal és a velük járó veszélyekkel. Néhány biztonsági támadás leírása megtalálható a következő fejezetekben, de a támadások kivitelezésének pontos részletei már túlmutatnak a kurzus keretein. További részletes információ található a CCNA WAN-protokollok és a CCNA Security tananyagokban.

MAC-cím elárasztás

Egy kapcsoló MAC-címtáblája a portokhoz csatlakozott eszközök MAC-címeit és a porthoz tartozó VLAN adatait tartalmazza. Amikor egy 2. rétegbeli kapcsoló egy továbbítandó keretet kap, akkor a kapcsoló megkeresi a cél MAC-címet a MAC-címtáblázatában. Minden Catalyst kapcsoló a MAC-címtáblát használja a 2. rétegbeli kerettovábbításra. Amint a keret megérkezik a kapcsoló egy portjára, a keret forrás MAC-címe rögzítésre kerül a MAC-címtáblázatban. Ezután a kapcsoló megvizsgálja a cél MAC-címet, és ha létezik már bejegyzés hozzá a táblában, akkor továbbítja a keretet a megfelelő portra. Ha a cél MAC-cím még nem létezik a MAC-címtáblázatban, akkor a kapcsoló elárasztással kiküldi a keretet az összes aktív porton, kivéve azon, ahonnan a keret érkezett.

A táblában nem létező címek miatt alkalmazott keret elárasztás lehetőséget ad a kapcsoló megtámadására, melyet úgynevezett MAC-címtábla túlcsordulásos támadásnak hívnak. További gyakori elnevezései a MAC-elárasztásos támadás vagy CAM-tábla túlcsordulásos támadás. Az ábrákon megtekinthető, hogyan működik egy ilyen típusú támadás.

Az 1. ábrán az "A" állomás adatokat küld a "B"-nek. A kapcsoló fogadja a kereteket, és megkeresi a cél MAC-címet a MAC-címtáblában. Ha nem találja a célcímet a táblázatban, akkor elárasztással kiküldi a keretet az összes porton, kivéve azon, ahonnan a keret érkezett.

A 2. ábrán a "B" állomás megkapja a keretet, és elküldi válaszát az "A"-nak. A kapcsoló ekkor tanulja meg, hogy a "B" MAC-címe a 2-es porton található, és ezt az információt rögzíti a MAC-címtáblában.

A "C" állomás szintén megkapja az "A"-ból a "B"-nek címzett keretet, de mivel a cél MAC-cím a "B", ezért a "C" eldobja a keretet.

A 3. ábrán látható, hogy ezután az "A" állomás (vagy bármely másik) által a "B"-nek küldött keret a 2-es portra kerül továbbításra és a kapcsoló már nem árasztja el a kerettel az összes portot.

Mivel a MAC-címtábla korlátozott méretű, a MAC elárasztásos támadások kihasználják ezt, és addig küldenek a kapcsolónak hamis forrás MAC-című kereteket, míg ezekkel a táblázat megtelítődik.

A 4. ábrán látható, hogy a támadó "C" állomás küldhet olyan kereteket, amelyek hamis, véletlenszerűen generált forrás és cél MAC-címeket tartalmaznak. A kapcsoló folyamatosan frissíti a MAC-címtáblázatát a hamis keretekben található információkkal. Ha a MAC-címtábla telítődött a hamis MAC-címekkel, akkor a kapcsoló úgynevezett meghibásodott-nyitott (fail-open) módba vált. Ebben az üzemmódban a kapcsoló minden beérkező keretet elárasztásos módon küld tovább a hálózaton, ennek eredményeként, a támadó láthatja a hálózati forgalom összes keretét.

Egyes hálózati támadó segédprogramok képesek akár percenként 155 000 MAC-bejegyzést generálni a kapcsolón, melynek MAC-címtáblája a modelltől függően változó méretű.

Amint az 5. ábrán látható, ameddig a kapcsoló MAC-címtáblája tele van, addig minden fogadott keretet elárasztásos módon továbbít minden portra. A példában az "A"-ból a "B"-nek küldött kereteket a kapcsoló a 3-as portra is továbbítja, és így azt a "C"-n lévő támadó is láthatja.

A MAC-címtábla túlcsordulásos támadás kivédésének egyik módja, ha beállítjuk a portbiztonság funkciót.