어떤 종류의 네트워크 공격이 스위치를 허브로 전환합니까?


35

저는 오늘 침투 테스터가 1400 만 달러의 가짜 은행 계좌를 만드는 방법을 설명 할 수 있는 기사를 읽었습니다 . 그러나 공격을 설명하는 한 단락이 두드러졌습니다.

그런 다음 그는 데이터 트래픽을 유도하는 작은 박스 인 스위치를 "홍수"하여 은행의 내부 네트워크에 데이터를 압도했습니다. 이러한 종류의 공격은 스위치를 "허브"로 전환하여 데이터를 무차별 적으로 브로드 캐스트합니다.

설명 된 효과에 익숙하지 않습니다. 막대한 양의 트래픽을 전송하여 스위치가 모든 포트로 트래픽을 브로드 캐스트하도록 할 수 있습니까? 이 상황에서 정확히 무슨 일이 일어나고 있습니까?


이 게시물 / 답변에서 일부 기타 세부 사항 : serverfault.com/questions/345670/... .
jfg956

답변:


62

이것을 MAC flooding 이라고 합니다. "MAC 주소"는 이더넷 하드웨어 주소입니다. 스위치는 MAC 주소를 포트에 매핑 하는 CAM 테이블 을 유지 관리합니다 .

스위치가 CAM 테이블에없는 MAC 주소로 패킷을 보내야하는 경우 허브처럼 모든 포트에 패킷을 플러딩합니다. 따라서 더 많은 수의 MAC 주소로 스위치를 플러딩하면 합법적 인 MAC 주소를 CAM 테이블에서 강제로 내보내고 트래픽이 모든 포트로 플러딩됩니다.


2
스위치가이를 방지하거나 제한하기 위해 어떤 작업을 수행합니까?
TheLQ

17
일반적으로 아니요, 그러나 그것은 그 일이 아닙니다. 스위치의 임무는 보안 정책이나 필터 정보를 구현하지 않고 LAN의 노드 간 통신을 용이하게하는 것입니다. 스위치는 상황을 더 빠르게 만들고 사람들이 어리석게도 이것을 보안으로 생각하게 한 결과 우연히이 작업을 수행합니다. (NAT에서도 마찬가지입니다.) 다른 작업을 수행 한 결과 "실수로"제공되는 보안을 실제 보안으로 간주해서는 안됩니다. 실제 방화벽도 포함하는 NAT 구현이있는 것처럼 보안을 제공하는 안전하고 관리되는 스위치가 있습니다.
David Schwartz

8

이를 MAC 플러딩이라고하며 스위치의 CAM 테이블 길이가 제한적이라는 사실을 이용합니다. 오버플로가 발생하면 스위치가 허브로 바뀌고 모든 패킷을 모든 포트로 전송하여 네트워크를 빠르게 중단시킬 수 있습니다.

잘못된 용어를 수정하도록 편집되었습니다.


1
SvW는 아마도 MAC 주소를 물리적 포트에 매핑하는 MAC 주소 테이블을 의미했을 것입니다. 대부분의 스위치는이를 위해 제한된 양의 메모리를 할당하며 공격자가 임의로 스푸핑 된 MAC 주소에서 프레임을 보내면 쉽게 소진 될 수 있습니다. 이로 인해 스위치는 아직 테이블에없는 대상 MAC 주소의 모든 포트로 프레임을 플러딩합니다. 다행히도 이는 주어진 포트에 나타날 수있는 MAC 수를 제한하여 완화 할 수 있습니다.
James Sneeringer 17

올바른 개념, 잘못된 용어 ... 나에게서 +1을하기에 충분히 가깝습니다.
Chris S

@ChrisS : 그것은 이미 의문의 여지가있었습니다. 답변이 모두 잘못되었습니다.
David Schwartz

1
@DavidSchwartz : 글쎄, 나는 분명히 용어를 섞은 두 단어를 편집 했으며 이제는 정답입니다. 솔직히 이것은 사이트의 편집 기능을 직접 사용할 수있는 좋은 기회였습니다. 대신, 사람들은 (당신이 반드시 그런 것은 아님) 2 살짜리 포스트에서 "teh"를 "the"로 대체하기 위해 그것을 사용합니다 ...
Sven

@ SVW : 나는 당신이 잘못된 용어를 사용했다는 것이 확실하지 않다고 생각했습니다. 스위치는 ARP와 관련이 있다는 것이 실제로 매우 일반적인 기능 오해입니다. 나는 "편집"을 사용하여 다른 사람의 대답을 완전히 틀리거나 수정하기까지 완전히 바꾸는 것이 적절하지 않다고 생각합니다. (아마도 그건 저의 잘못된 정책 일 것입니다. 메타를 검색하고 그 관점에서 내가 주류를 벗어
David Schwartz

0

위에서 설명했듯이 스위치의 MAC 테이블은 가짜 맥 주소로 '중독'됩니다. 도구 모음의 macof프로그램으로 쉽게 수행 할 수 dsniff있습니다. 경고 : 자신의 네트워크에서 교육 목적으로 만 시도하십시오. 그렇지 않으면 심각한 법적 문제가 발생할 수 있습니다!

http://www.monkey.org/~dugsong/dsniff/

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.