Skip to content

MAC Table Attaks

MAC Flooding

L'objectif de cette attaque est de saturer la table de correspondant MAC/Port du switch afin de le forcer à transmettre des paquets unicast comme des paquets unicast unknown.

Principe

Les switches possèdent une taille maximale limite dans leur mémoire pour stocker les correspondances MAC/Port, par conséquent, il peut manquer de ressources pour conserver les adresses MAC.

Switch#show mac-address-table
          Mac Address Table
-------------------------------------------
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    0002.169d.d0a0    DYNAMIC     Fa0/4
   1    0002.4a1e.d7c2    DYNAMIC     Fa0/3
   1    0030.f224.13d0    DYNAMIC     Fa0/2
   1    00d0.d367.53d4    DYNAMIC     Fa0/1
Switch#

Exemple d'une table de correspondance MAC/Port sur un switch cisco ios

Lorsque la table MAC est remplie et que le commutateur doit traiter une trame dont l'adresse MAC de destination n'est pas renseignée dans sa table de correspondant, alors l'équipement traite les trames unicast comme des trames unicast unknown et inonde le réseau.

Cela permet de capturer toutes les trames envoyées d'un hôte à un autre sur le réseau local.

Remarque : le trafic est inondé uniquement à l'intérieur du réseau local ou du VLAN.

Methode

Les attaques de table MAC sont possibles avec des outils tel que macof qui permettent de flooder un switch avec des adresses MAC générer aléatoirement (jusqu'à 8 000 trames bidon par seconde).

macof [-i interface] [-s src] [-d dst] [-e tha] [-x sport] [-y dport] [-n times]