Nell'ambito della sicurezza informatica, il MAC flooding (detto anche Switch Flooding e impropriamente ARP flooding, letteralmente inondazione dello switch) designa una tecnica di attacco informatico in una rete locale (LAN) commutata che consiste nell'inviare ad uno switch pacchetti appositamente costruiti per riempire la CAM table dello switch, che normalmente associa un indirizzo MAC alla porta cui il relativo terminale è collegato, con indirizzi MAC fittizi. La CAM table (Content Addressable Memory table) è una struttura dati efficiente, concettualmente simile a una hash table, che permette di associare rapidamente un indirizzo di dimensione fissa (nel caso di uno switch, un indirizzo MAC) alla porta a cui è collegato il terminale.
Descrizione
[modifica | modifica wikitesto]Questo attacco costringe lo switch, una volta saturata la CAM table, ad entrare in una condizione detta di fail open che lo fa comportare come un hub, inviando così gli stessi dati a tutti gli apparati ad esso collegati, compreso quello di un eventuale aggressore che può dunque sniffare tutto il traffico in transito nella rete. Non tutti gli switch optano però per questa configurazione quando sono sottoposti a questo tipo di attacco. Alcuni infatti entrano in uno stato di blocco, impedendo il passaggio del traffico.
Un'interfaccia di rete in modalità promiscua, cioè impostata in modo da leggere anche il traffico che dovrebbe ignorare perché non diretta a lei, diventa così in grado di intercettare tutte le comunicazioni che attraversano lo switch, avendo accesso al traffico che non dovrebbe nemmeno transitare sul suo segmento di rete. Si tratta dunque di una tipologia di attacco abbastanza semplice.
Causare una condizione di fail open in uno switch è in genere il primo passo da parte di un attaccante per altri fini, tipicamente effettuare sniffing o un man in the middle. Tool che causano un MAC flooding sono macof della suite dsniff, taranis e Ettercap.
Una contromisura efficace al MAC flooding è l'utilizzo della caratteristica di "port security" sugli switch Cisco, "packet filtering" sugli switch 3Com o di servizi equivalenti negli switch di altri produttori.
Voci correlate
[modifica | modifica wikitesto]Collegamenti esterni
[modifica | modifica wikitesto]- Come funziona il Port Stealing di Ettercap (inglese), su ettercap.sourceforge.net (archiviato dall'url originale il 14 febbraio 2006).
- ARP Poisonig in Real World (inglese), su giac.org. URL consultato il 2 maggio 2019 (archiviato dall'url originale il 4 gennaio 2011).
- MAC flooding di Andrea Fabrizi