MAC flooding attack
Főnév
MAC flooding attack (tsz. MAC flooding attacks)
- (informatika) A MAC flooding attack (MAC-árasztásos támadás) egy olyan hálózati támadási forma, amely célja, hogy egy switch eszköz MAC-cím tábláját (CAM table) túlterhelje hamis MAC-címekkel. Ezzel a támadó eléri, hogy a switch elveszítse a képességét az egyedi eszközök azonosítására és broadcast módba váltson – vagyis úgy viselkedjen, mint egy hub, minden csomagot minden portra továbbítva. Ennek eredményeként a támadó lehallgathatja (sniffing) az egyébként nem neki szánt forgalmat.
🧠 Alapfogalmak
Switch és CAM tábla
- Egy switch a 2. OSI rétegen működik, és a MAC-címek alapján továbbítja az adatokat.
- Minden switch tárol egy CAM (Content Addressable Memory) táblát, amely MAC-címeket és portokat párosít.
- Példa:
MAC: 00:11:22:33:44:55 → Port 1 MAC: 66:77:88:99:AA:BB → Port 2 - Ha a CAM tábla megtelik, a switch nem tud új címeket rögzíteni, és elkezdi minden porton továbbítani az ismeretlen MAC-címre érkező csomagokat.
🧨 Mi az a MAC flooding támadás?
Ez a támadás abban áll, hogy a támadó tömegesen küld hamis MAC-címeket a switch-nek, gyors egymásutánban.
Célja:
- CAM tábla túlcsordítása (memory overflow),
- A switch broadcast módba kényszerítése,
- Forgalom lehallgatása (más eszközök csomagjai elérhetővé válnak a támadó számára).
🔍 Hogyan működik lépésről lépésre?
- A támadó egy szkripttel vagy eszközzel több ezer hamis MAC-címet kezd el küldeni a hálózaton.
- A switch mindegyiket eltárolja a CAM táblában, hozzárendelve a támadó portjához.
- A tábla hamar megtelik – nincs hely új címeknek.
- Ekkor a switch minden új, ismeretlen célcímre érkező forgalmat minden portjára továbbít (broadcast).
- A támadó sniffer programmal lehallgatja az egyébként nem neki szánt adatokat.
🧪 Példa eszköz: macof (Linux, Kali Linux)
A macof eszköz (a dsniff csomag része) több ezer hamis MAC-címet küld másodpercenként:
sudo apt install dsniff
sudo macof -i eth0
A fenti parancs megárasztja a
eth0interfészt hamis MAC-címekkel.
📡 Támadás környezete – hol használható?
| Környezet | Hatás |
|---|---|
| Vállalati LAN | Egy szerverszobai switch broadcast módba kerülhet |
| Wi-Fi hálózat | Ritkább, de ha a Wi-Fi LAN switch mögött van, ott is alkalmazható |
| Otthoni hálózat | Kevésbé értelmes cél, de gyenge switch esetén tesztelhető |
⚠️ Támadás jelei (detektálás)
- Hirtelen megnövekvő MAC-címek száma a switch-en.
- Logokban CAM tábla overflow vagy „MAC address flapping” hibaüzenet.
- Switch CPU használata megugrik.
- Forgalom látható nem rendeltetési porton (sniffing).
Ellenőrző parancs (Cisco switch):
show mac address-table count
show mac address-table
🔐 Védekezés MAC flooding ellen
1. Port Security
Legfontosabb védelem Cisco switch-en:
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security violation restrict
- Meghatározható, hány MAC-cím lehet egy porton.
- Túllépés esetén a forgalmat blokkolja és logol.
2. Dynamic ARP Inspection + DHCP Snooping
- ARP spoofing és hamis IP/MAC párosok szűrésére is alkalmas.
- Dinamikus eszközvédelmi réteget ad.
3. IDS/IPS rendszerek használata
- Pl. Snort vagy Suricata érzékeli a CAM tábla támadásokat.
4. Port alapú hitelesítés (802.1X)
- Csak hitelesített eszköz csatlakozhat, még MAC-cím bemutatás előtt.
5. Management VLAN elkülönítése
- Ha a támadó nem látja az admin eszközöket, nem tudja spoofolni a forgalmat.
📚 Valódi világban történt esetek
Példa:
Egy vállalatnál egy belső alkalmazott tesztelés céljából macof-ot indított. Néhány perc alatt a switch CAM táblája megtelt, és a teljes LAN megbénult: broadcast viharok, CPU-telítettség, admin portok lefagyása – végül újra kellett indítani az eszközöket.
🧩 Különbség más támadásokkal szemben
| Támadás | Cél | Eszköz |
|---|---|---|
| MAC flooding | Switch memória túlterhelése | macof, custom script |
| MAC spoofing | Más MAC-cím használata | macchanger, ifconfig |
| ARP poisoning | IP ↔ MAC hamisítás | arpspoof, ettercap |
🧠 Összefoglalás
| Fogalom | Jelentés |
|---|---|
| MAC flooding | Támadás a switch MAC-táblája ellen, broadcast kényszerítéssel |
| Cél | Forgalom lehallgatása, hálózat instabillá tétele |
| Módszer | Tömeges hamis MAC-cím küldése |
| Eszköz | macof, Scapy, Python script |
| Védelem | Port Security, DHCP snooping, DAI, 802.1X, VLAN szeparáció |
| Érzékelés | Hálózati forgalom monitorozás, logok, IDS/IPS rendszerek |
A MAC flooding egy klasszikus, de veszélyes hálózati támadási technika, amely főleg nem védett Layer 2 switch-ek ellen hatásos. A legjobb védekezés a Port Security használata, a forgalom naplózása és az IDS rendszerek integrálása.
- MAC flooding attack - Szótár.net (en-hu)
- MAC flooding attack - Sztaki (en-hu)
- MAC flooding attack - Merriam–Webster
- MAC flooding attack - Cambridge
- MAC flooding attack - WordNet
- MAC flooding attack - Яндекс (en-ru)
- MAC flooding attack - Google (en-hu)
- MAC flooding attack - Wikidata
- MAC flooding attack - Wikipédia (angol)