Wie zu erkennen, einen Mac Flooding-Angriff
Seit dem Beginn des Internet, wir haben ständig wachsenden Bedrohungen wurden mit Blick auf die die Stabilität und Benutzerfreundlichkeit Ihres Netzwerks beeinträchtigen können.
Heute verlassen, unsere Unternehmen in ihren Netzwerken und dem Internet immer mehr, aber wie können wir von Hackern angegriffen verhindern?
Um diese Angriffe zu besiegen, müssen wir gründlich verstehen, wie sie funktionieren. Der erste Schritt ist es, die Angriffe in Echtzeit zu erfassen.
Lassen Sie uns einen Mac Flooding-Attacke zum Beispiel nehmen hier:
Was ist MAC Flooding-Attacke?
In Computer-Netzwerk-Jargon ist MAC Überschwemmungen eine Technik eingesetzt, um die Sicherheit des Netzwerk-Switches zu gefährden.
Switches verwalten eine Liste (ein CAM-Tabelle genannt), die auf dem Netzwerk zu den physischen Ports auf dem Switch einzelnen MAC-Adressen zuordnet.
Dies ermöglicht es nur Daten aus dem physikalischen Port zu senden, wenn der Empfänger-Computer befindet, statt wahllos die Daten aus allen Ports wie ein Hub sendet.
Der Vorteil dieser Methode ist, dass Daten nur in das Netzwerksegment geführt werden, um den Computer enthält, dass die Daten für speziell bestimmt ist.
Bei einem typischen MAC-Überflutungs-Angriff, wird ein Schalter mit Paketen überflutet, die jeweils unterschiedlichen MAC-Adressen. Die Absicht ist es, den begrenzten Speicher beiseite in dem Schalter verbrauchen der MAC-Adresse-zu-physikalischen Port-Übersetzungstabelle zu speichern.
Das Ergebnis dieses Angriffs bewirkt, dass der Schalter einen Zustand als „Failopen Modus“ einzutreten, in dem alle ankommenden Pakete werden auf allen Ports gesendet geführt (wie bei einem Hub), anstatt nur auf dem korrekt Port gem Normalbetrieb.
Einige fortgeschrittenere Switches, wie die von Nortel, Cisco oder Allied Telesis bietet Ihnen die Möglichkeit zur Einrichtung Schutz gegen diesen Angriff mit Begrenzung und / oder feste Verdrahtung einige MAC-Adressen an einen dedizierten Port.
Sie können auch die Richtlinie festgelegt, dass, wenn ein Port zu viele MAC-Adressen bekommt, wird der Standard des Port nach unten, schließen ist und eine Log-Nachricht zu generieren.
Wie erkennen MAC Flooding-Angriff
Jetzt werde ich den Prozess zu Ihnen mit Colasoft Capsa Analyzer demonstrieren.
Wie könnte dieses kleine Netzwerk hat so viele Maschinen?
Wir müssen die Adressen in der NOD überprüfen EXPLORE. Öffnen Sie den physischen explorer, und schauen Sie sich diese Zahl; gibt es mehr als 1800 MAC-Adressen in lokalem Segment. Es ist abnormal, gibt es keine Möglichkeit, dass so viele Maschinen in diesem Netzwerk vorhanden ist.
Und anscheinend sind diese Adressen nicht real. Wir sind sicher, dass es Wurmaktivitäten oder Angriffe im Netzwerk.
Mal sehen, wie diese Knoten kommunizieren. Öffnen Sie die MATRIX TAB. Wählen Sie Top 1000 physischen Knoten Matrixtyp. Wir sehen in dieser Matrix, was für ein Durcheinander! Es gibt so viele Knoten in Verbindung steht, und entsprechend den Farben der Linie, rot Mittel ein Weg Übertragungs.
Und wir können auf die physikalischen GESPRÄCH TAB gehen zu lesen, dass es wahr ist. Fast nur alle Knoten aus einem Paket senden. Die meisten Pakete sind 64 Bytes.
Wir wissen, dass alle Maschinen in unserem Netzwerk mit einem Switch verbunden sind. Dies sieht aus wie eine MAC-Flooding-Attacke.
Trotzdem unsere Vorhersage zu bestätigen, müssen wir die Originaldaten der Pakete, die sie aussenden, um zu sehen. Öffnen Sie die PAKET TAB. Wir sehen die Delta-Zeit zwischen Paketen sehr klein ist, der mit dem Schalter einen großen Druck gibt.
Fast alle Pakete sind 64 Bytes. Und lassen Sie sich in den Paketen an den Originaldaten suchen. Fast alle Pakete zufällig durch Klotzen gleiche Ziffern in den Paketen erzeugt.
Wir können jedoch einige Maschinen aus dem Netzwerk schneiden die unschuldigen Maschinen zu beseitigen, bis wir das Ziel finden.
Erkennen der Angriffe in der Zeit ist der erste und wichtigste Schritt, um unser Netzwerk zu sichern, mit den Paket-Sniffer-Tool wie Colasoft Capsa, können wir effektiver arbeiten.
Wir werden diskutieren, wie zu erkennen und die anderen Angriffe beim nächsten Mal zu besiegen.
Die in diesem Beitrag ausgedrückt sind die Meinungen des Infosec Insel Mitglied, das diesen Inhalt gepostet. Infosec Island ist für den Inhalt oder Messaging dieses Beitrags nicht verantwortlich.
Die unerlaubte Vervielfältigung dieses Artikel (in ganz oder teilweise) ist ohne ausdrückliche schriftliche Genehmigung von Infosec Island und dem Infosec Insel Mitglied verboten, das diesen Inhalt geschrieben - dazu gehört auch für andere Zwecke als die persönliche Gebrauch unseres RSS-Feed.