Colasoft Blog - Wie erkennt MAC Flooding-Angriff in Ihrem LAN
Wie erkennen Angriff MAC Flooding in Ihrem LAN?
Bei einem typischen MAC-Überflutungs-Angriff, wird ein Schalter mit Paketen überflutet, die jeweils unterschiedlichen MAC-Adressen. Der Switch zeichnet diese Adressen seiner CAM-Tabelle. Wenn der Tisch voll ist, kann der Schalter nicht den richtigen Zielport suchen, aber auf allen Ports übertragen werden. Ein böswilliger Benutzer könnte dann mit einem Paket-Sniffer in Promiscuous-Modus ausgeführt sensible Daten von anderen Computern zu erfassen, die der Schalter im Normalbetrieb nicht zugänglich wäre waren.
Wie zu erkennen, ob es eine MAC Flooding-Attacke im Netz ist? In diesem Artikel werde ich Sie mit Colasoft Capsa Analyzer demonstrieren.
Wir müssen die Adressen in der NOD überprüfen EXPLORE. Öffnen Sie den physischen Explorer, und suchen Sie diese Nummer; gibt es mehr als 1800 MAC-Adressen in lokalem Segment. Es ist abnormal; es gibt keine Möglichkeit, dass so viele Maschinen in diesem Netzwerk vorhanden ist. Und anscheinend sind diese Adressen nicht real. Wir sind sicher, dass es Wurmaktivitäten oder Angriffe im Netzwerk.
Mal sehen, wie diese Knoten kommunizieren. Öffnen Sie die MATRIX TAB. Und wir wählen Top 1000 physischen Knoten Matrixtyp. Wir sehen in dieser Matrix, was für ein Durcheinander! Es gibt so viele Knoten in Verbindung steht, und entsprechend den Farben der Linie, rot Mittel ein Weg Übertragungs.
Und wir können auf die physikalischen GESPRÄCH TAB gehen zu lesen, dass es wahr ist. Fast nur alle Knoten aus einem Paket senden. Die meisten Pakete sind 64 Bytes.
Wir wissen, dass alle Maschinen in unserem Netzwerk mit einem Switch verbunden sind. Dies sieht aus wie eine MAC-Flooding-Attacke.
Trotzdem unsere Vorhersage zu bestätigen, müssen wir die Originaldaten der Pakete, die sie aussenden, um zu sehen. Öffnen Sie die PAKET TAB. Wir sehen die Delta-Zeit zwischen Paketen sehr klein ist, der mit dem Schalter einen großen Druck gibt. Fast alle Pakete sind 64 Bytes. Und lassen Sie sich in den Paketen an den Originaldaten suchen. Fast alle Pakete zufällig durch Klotzen gleiche Ziffern in den Paketen erzeugt.
