Podstawowe zabezpieczenie przełącznika nie zapobiega przed złośliwymi atakami. Bezpieczeństwo to proces warstwowy, który zasadniczo nigdy się nie kończy. Im bardziej świadomy jest zespół specjalistów sieciowych w zakresie bezpieczeństwa i ataków oraz zagrożeń, jakie ze sobą niosą, tym lepiej. Niektóre rodzaje ataków są opisane w tym rozdziale, lecz szczegółowy opis ich działania jest poza zakresem tego kursu. Więcej szczegółowych informacji znajduje się w kursie CCNA WAN Protocols oraz kursie CCNA Security.
Zalewanie sieci adresami MAC
Tablica adresów MAC w przełączniku zawiera adresy MAC związane z każdym portem fizycznym i z przypisaną do każdego portu siecią VLAN. Gdy przełącznik warstwy 2 otrzyma ramkę, zacznie szukać w tablicy adresów MAC docelowego adresu MAC. Wszystkie modele przełączników Catalyst wykorzystują w procesie przełączania na poziomie warstwy 2 tablicę adresów MAC. Gdy ramki dotrą do portów przełącznika, źródłowe adresy MAC są zapisywane w tablicy adresów MAC. Jeżeli adres MAC jest wpisany do tablicy adresów MAC, przełącznik przekazuje ramkę do właściwego portu. Jeśli adres MAC nie istnieje w tablicy adresów MAC, przełącznik zalewa ramkami każdy port na przełączniku, z wyjątkiem portu, gdzie ramka została uzyskana.
Zachowanie zalewania adresami MAC przełącznika dla nieznanych adresów może być wykorzystane do ataku na przełącznik. Ten rodzaj ataku nazywany jest atakiem przepełnienia tablicy adresów MAC. Te ataki są czasami określane jako ataki zalewania adresami MAC lub atakami przepełnienia tabeli CAM. Rysunki przedstawiają, jak działa ten typ ataków.
Na rys. 1, host A wysyła ruch do hosta B. Przełącznik odbiera ramki i szuka docelowego adresu MAC w tablicy adresów MAC. Jeżeli przełącznik nie może znaleźć docelowego adresu MAC w tablicy adresów MAC, przełącznik kopiuje ramkę i przekazuje (rozgłoszeniowo) na wszystkie porty fizyczne przełącznika, z wyjątkiem portu, z którego została ona odebrana.
Na rys. 2, host B odbiera ramkę i wysyła odpowiedź do hosta A. Następnie przełącznik zapamiętuje, że adres MAC hosta B znajduje się na porcie 2 i zapisuje te informacje do tabeli adresów MAC.
Host C także otrzymuje ramkę kierowaną z hosta A do hosta B, lecz ją odrzuca, ponieważ docelowym adresem MAC jest adres hosta B.
Jak pokazano na rys. 3, każda ramka wysłana przez host A (lub innego hosta) do hosta B jest przekazywana do portu 2 przełącznika i nie jest rozgłaszana na wszystkie porty.
Tablice adresów MAC mają ograniczone rozmiary. Ataki przepełnienia tablicy adresów MAC korzystają z tego ograniczenia, by przeciążyć przełącznik fałszywymi źródłowymi adresami MAC, aż tablica adresów MAC przełącznika się zapełni.
Jak pokazano na rys. 4, dokonujący ataku na hosta C może wysłać ramki z fałszywego, losowo generowanego źródła i docelowych adresów MAC do przełącznika. Przełącznik aktualizuje tablicę adresów MAC informacjami zawartymi w fałszywych ramkach. Gdy tablica adresów MAC jest przepełniona fałszywymi adresami MAC, przełącznik wchodzi w tak zwany tryb fail-open. W tym trybie przełącznik rozsiewa wszystkie ramki do wszystkich urządzeń w sieci. W rezultacie dokonujący ataku widzi wszystkie ramki.
Niektóre narzędzia ataku sieciowego mogą wygenerować do 155 tysięcy wpisów MAC w przełączniku na minutę. W zależności od przełącznika maksymalna wielkość tablicy adresów MAC jest różna.
Jak pokazano na rys. 5, tak długo, jak tablica adresów MAC na przełączniku pozostaje pełna, przełącznik rozsiewa wszystkie odebrane ramki na wszystkie porty. W przykładzie tym, ramki wysyłane z hosta A do hosta B są również rozsiewane portem 3 przełącznika i widziane przez dokonującego ataku na hoście C.
Jednym ze sposobów, aby zmniejszyć ilość ataków przepełnienia tablicy MAC, jest skonfigurowanie zabezpieczeń portów.