Lapisan tautan data bertindak sebagai sarana komunikasi antara dua host yang terhubung langsung. Di depan pengiriman, itu mengubah aliran data menjadi sinyal dan mengirimkannya ke perangkat keras. Sebaliknya, sebagai penerima, ia menerima data dalam bentuk sinyal listrik dan mengubahnya menjadi bingkai yang dapat dikenali.
MAC dapat diklasifikasikan sebagai sub-lapisan data link layer yang bertanggung jawab untuk pengalamatan fisik. Alamat MAC adalah alamat unik untuk adaptor jaringan yang disediakan oleh pabrikan untuk mengirimkan data ke host tujuan. Jika perangkat memiliki beberapa adapter jaringan, mis. Ethernet, Wi-Fi, Bluetooth, dll.akan ada alamat MAC yang berbeda untuk setiap standar.
Pada artikel ini, Anda akan mempelajari bagaimana lapisan ini dimanipulasi untuk melakukan serangan banjir MAC dan bagaimana kita dapat mencegah serangan tersebut.
Perkenalan:
MAC (Media Access Control) Flooding adalah serangan dunia maya di mana penyerang membanjiri switch jaringan dengan alamat MAC palsu untuk membahayakan keamanan mereka. Switch tidak menyiarkan paket jaringan ke seluruh jaringan dan menjaga integritas jaringan dengan memisahkan dan mengakses data. VLAN (Virtual Local Area Network).
Motif di balik serangan MAC Flooding adalah untuk mencuri data dari sistem korban yang dikirimkan melalui jaringan. Ini dapat dicapai dengan memaksa isi tabel MAC legal sakelar dan perilaku unicast sakelar. Hal ini menyebabkan data sensitif ditransmisikan ke bagian lain dari jaringan dan akhirnya mengubah saklar menjadi hub dan menyebabkan sejumlah besar frame masuk membanjiri semua port. Oleh karena itu, ini juga disebut serangan overflow tabel alamat MAC.
Penyerang juga dapat menggunakan serangan spoofing ARP sebagai serangan bayangan untuk memungkinkannya terus mengakses data pribadi setelah sakelar jaringan mengambil alih serangan banjir MAC awal.
Menyerang
Untuk menjenuhkan tabel dengan cepat, penyerang membanjiri sakelar dengan sejumlah besar permintaan, masing-masing dengan alamat MAC palsu. Saat tabel MAC mencapai batas penyimpanan yang dialokasikan, ia mulai menghapus alamat lama dengan yang baru.
Setelah menghapus semua alamat MAC yang sah, sakelar mulai menyiarkan semua paket ke setiap port sakelar dan mengambil peran sebagai hub jaringan. Sekarang, ketika dua pengguna yang valid mencoba untuk berkomunikasi, data mereka diteruskan ke semua port yang tersedia, mengakibatkan serangan banjir tabel MAC.
Semua pengguna yang sah sekarang dapat memposting hingga kedaluwarsa. Dalam situasi ini, entitas jahat menjadikan mereka bagian dari jaringan dan mengirimkan paket data jahat ke komputer pengguna.
Akibatnya, penyerang akan dapat menangkap semua lalu lintas masuk dan keluar yang melewati sistem pengguna dan dapat mengendus data rahasia yang dikandungnya. Gambar berikut dari alat sniffing Wireshark menunjukkan bagaimana tabel alamat MAC dibanjiri dengan alamat MAC palsu.
Pencegahan serangan
Kita harus selalu berhati-hati untuk mengamankan sistem kita. Untungnya, kami memiliki alat dan fitur untuk mencegah penyusup mengakses sistem dan menanggapi serangan yang membahayakan sistem kami. Menghentikan serangan banjir MAC dapat dilakukan melalui keamanan port.
Kami dapat mencapai ini dengan mengaktifkan fitur ini di keamanan port menggunakan perintah keamanan port switchport.
Tentukan jumlah maksimum alamat yang diizinkan pada antarmuka menggunakan perintah nilai maksimum keamanan port switchport seperti di bawah ini:
beralih port-keamanan maks 5:00
Mengatur alamat MAC dari semua perangkat yang dikenal.
beralih port-keamanan maks 2:
Menentukan apa yang harus dilakukan jika salah satu dari kondisi di atas dilanggar. Ketika pelanggaran keamanan port switch terjadi, switch Cisco dapat dikonfigurasi untuk merespons dengan salah satu dari tiga cara berikut: Lindungi, batasi, nonaktifkan.
Mode proteksi adalah mode pelanggaran keamanan dengan keamanan minimal. Paket dengan alamat sumber yang tidak diketahui dijatuhkan jika jumlah alamat MAC yang didukung melebihi batas port. Ini dapat dihindari jika jumlah maksimum alamat yang dicadangkan pada port ditingkatkan atau jumlah alamat MAC yang disediakan dikurangi. Tidak ada bukti pelanggaran data yang dapat ditemukan dalam kasus ini.
Namun dalam mode terbatas, pelanggaran data dilaporkan ketika pelanggaran keamanan port terjadi dalam mode pelanggaran keamanan default, antarmuka dinonaktifkan secara keliru dan LED port dimatikan. Penghitung pelanggaran bertambah.
Perintah mode shutdown dapat digunakan untuk mengeluarkan port aman dari status error shutdown. Itu dapat diaktifkan dengan perintah di bawah ini.
switch shutdown pelanggaran keamanan port
Selain itu, perintah mode pengaturan antarmuka shutdown tidak dapat digunakan untuk tujuan yang sama. Mode ini dapat diaktifkan menggunakan perintah yang diberikan di bawah ini:
beralih batas pelanggaran keamanan port
Serangan ini juga dapat dicegah dengan mengautentikasi alamat MAC terhadap server AAA yang dikenal sebagai server autentikasi, otorisasi, dan akuntansi. Dan menonaktifkan port yang tidak sering digunakan.
Kesimpulan
Konsekuensi dari serangan banjir MAC dapat bervariasi tergantung pada bagaimana eksekusinya. Hal ini dapat menyebabkan kebocoran informasi pribadi dan sensitif pengguna yang dapat digunakan untuk tujuan jahat, sehingga diperlukan pencegahan. Serangan banjir MAC dapat dicegah dengan banyak metode, termasuk mengotentikasi alamat MAC yang ditemukan terhadap server “AAA”, dll.