MAC Address flooding

Corso e Certificazione Cisco CCNA

Come mostrato all’interno del Corso Cisco (rif.  CCNA 3-2.4.4.1), l’attacco Mac Address Flooding, noto anche come “MAC Table overflow”, consiste nel riempire la Tabella degli abbinamenti MAC-porta con un’infinità di nuovi indirizzi MAC inventati da un apposito “tool” di attacco.

Quando lo Switch supera la capacità della sua tabella, si mette a funzionare in “fail-open mode” e si comporta come un Hub, inoltrando le Trame in arrivo su tutte le porte, tranne quella di provenienza. In tal modo l’hacker riceve anche il traffico destinato ad altri, e può analizzarlo.

Gli Switch tengono il conto di quando ogni “entry” della tabella è stata usata l’ultima volta, e svuotano la tabella per “invecchiamento” (aging) delle entry non usate (di default per 5’); se il “tool” di attacco smette di funzionare, perciò, in breve lo Switch riprende la sua funzionalità normale.

Tra i rimedi per il MAC Address Flooding (mitigation) a questo attacco (non illustrati nel Corso) vi è:

·      la configurazione del massimo numero di MAC che si possono apprendere da una porta

·      la configurazione manuale dei MAC accettabili su una porta

·      l’abbreviare il tempo di “aging” delle coppie MAC-porta.