MAC Flooding, en yaygın ağ saldırılarından biridir. Diğer web saldırılarından farklı olarak MAC Flooding, ağdaki herhangi bir host makineye saldırma yöntemi değil, ağ anahtarlarına saldırma yöntemidir. Ancak saldırının kurbanı ağdaki bir ana bilgisayardır. MAC Flooding’in ne olduğunu ve nasıl önleyebileceğimizi göreceğiz.
Ağ Anahtarları
Ağ anahtarı, aygıtları bir bilgisayar ağında birbirine bağlayan bir bilgisayar ağ aygıtıdır. Anahtarlar, Ağ hub’larına çok benzer şekilde çalışır ancak önemli farklılıklar vardır. Anahtarların, fiziksel bağlantı noktalarıyla kendisine bağlı bir ağ içinde bilgisayarları vardır. Böylece anahtarlar bir ağ oluşturur. Gelen veriler bir anahtara ulaştığında, verileri, verilerin ulaşması amaçlanan bir veya daha fazla bağlantı noktasına bilgisayarlara iletir. Bir hub daha az gelişmiştir ve gelen verileri tüm bağlantı noktalarına yayınlar.
Ethernet Çerçevesi
Bir Ethernet çerçevesi, bir Ethernet Yapısı üzerinden herhangi bir yüksek katman protokolünü iletmek için bir araya getirilmiş 6 alandan oluşan fiziksel bir katman iletişim iletimidir.
MAC Flooding Nedir?
MAC Flooding, ağ anahtarlarının güvenliğini tehlikeye atmayı amaçlayan bir saldırı yöntemidir. Anahtarlar genellikle MAC Tablosu adı verilen bir tablo yapısını korur. Bu MAC Tablosu, ağdaki anahtarın bağlantı noktalarına bağlı olan ana bilgisayarların ayrı MAC adreslerinden oluşur. Bu tablo, anahtarların verileri alıcının bulunduğu bağlantı noktalarından dışarı yönlendirmesini sağlar. Daha önce gördüğümüz gibi, hub’lar verileri tüm ağa yayınlayarak verilerin ağdaki tüm ana bilgisayarlara ulaşmasına izin verir, ancak anahtarlar verileri verilerin gönderilmesi amaçlanan belirli makinelere gönderir. Bu amaca MAC tablolarının kullanılmasıyla ulaşılır MAC Flooding’in amacı bu MAC Tablosunu kaldırmaktır. Tipik bir MAC Flooding saldırısında, saldırgan çok sayıda Ethernet Çerçevesi gönderir. Anahtara çok sayıda Ethernet Çerçevesi gönderirken, bu çerçevelerin çeşitli gönderici adresleri olacaktır. Saldırganın amacı, MAC adres tablosunu depolamak için kullanılan anahtarın belleğini tüketmektir. Yasal kullanıcıların MAC adresleri, MAC Tablosundan dışarı itilecektir. Artık anahtar, gelen verileri hedef sisteme iletemez.
MAC Adres Tablosu doldu ve yeni MAC adreslerini kaydedemiyor. Bu, anahtarın arızalı bir açık moda girmesine yol açacak ve anahtar artık bir ağ hub’ı gibi davranacaktır. Gelen verileri bir yayın gibi tüm portlara iletecektir. Bakalım MAC Flooding saldırısı ile saldırganın faydaları nelermiş.
Saldırgan ağın bir parçası olduğu için, saldırgan kurban makineye yönelik veri paketlerini de alacaktır. Böylece saldırgan, kurbanın ve diğer bilgisayarların iletişiminden hassas verileri çalabilecektir. Bu hassas verileri yakalamak için genellikle bir paket analizörü kullanılır.
Bir MAC Flood saldırısını başarıyla başlattıktan sonra, saldırgan ayrıca bir ARP saldırısını da takip edebilir. Bu, saldırıya uğrayan anahtarlar MAC Flooding saldırısından kurtulduktan sonra bile saldırganın ayrıcalıklı verilere erişimini sürdürmesine yardımcı olacaktır.
ARP Spoofing
ARP Spoofing, saldırganın sahte ARP Mesajları (Adres Çözümleme Protokolü) gönderdiği ve böylece saldırganın MAC adresinin ağdaki meşru bir kullanıcının IP adresiyle ilişkilendirildiği bir saldırıdır. Adres Çözümleme Protokolü, İnternet Protokolü tarafından genellikle IPv4 tarafından bir makinenin IP adresini, Ethernet adresi olarak da adlandırılan MAC adresi gibi fiziksel bir adresle eşleştirmek için kullanılan bir protokoldür.
MAC Flooding Saldırısı nasıl önlenir?
MAC Flooding saldırısını çeşitli yöntemlerle önleyebiliriz. Aşağıdakiler bu yöntemlerden bazılarıdır.
1) Port Güvenliği
2) AAA sunucusuyla kimlik doğrulama
3) ARP Spoofing veya IP Spoofing’i önlemek için güvenlik önlemleri
4) IEEE 802.1X paketlerini uygulayın
Port Güvenliği
Bağlantı noktası güvenliği genellikle MAC Flooding saldırısı için bir karşı önlem olarak kullanılır. Anahtarlar, uç istasyonlara bağlı bağlantı noktalarında öğrenilebilecek MAC adreslerinin sayısını sınırlandıracak şekilde yapılandırılmıştır. Ayrıca geleneksel MAC adres tablosuyla birlikte küçük bir ‘güvenli’ MAC adresleri tablosu tutulur. Bu tablo aynı zamanda MAC adres tablosunun bir alt kümesi olarak da işlev görür. Cisco anahtarları, yerleşik bağlantı noktası güvenlik sistemi ile mevcuttur.
AAA sunucusuyla kimlik doğrulama
Bu yöntemde, keşfedilen MAC adresleri bir kimlik doğrulama, yetkilendirme ve muhasebe sunucusuna (AAA Sunucusu) göre doğrulanır ve bu adresler daha sonra filtrelenir.
ARP Spoofing veya IP Spoofing’i önlemek için güvenlik önlemleri.
ARP Spoofing’i veya IP Spoofing’i önlemeye yönelik güvenlik önlemleri, bazı durumlarda tek noktaya yayın paketlerinde ek MAC adresi filtrelemesi de yapabilir.
IEEE 802.1X paketlerini uygulayın
IEEE 802.1X paketlerinin uygulanması, MAC adresi de dahil olmak üzere istemciler hakkında dinamik olarak öğrenilen bilgilere dayalı olarak bir AAA sunucusu tarafından paket filtreleme kurallarının açıkça yüklenmesine izin verecektir.
Bunlar, MAC Flooding saldırısını önlemek için sıklıkla kullanılan yöntemlerdir.
Vakit ayırdığınız için teşekkürler bir sonraki yazımızda görüşmek üzere 🙂