MAC Flooding Saldırısı

Biraz da ağ içi saldırılara bakalım. Bildiğimiz gibi artık çok ileri seviye saldırı teknikleriyle hedefler ele geçirilebiliyor. Active Directory saldırılarından OWASP’a kadar her birinde uzman olmanın zaman ve emek aldığı saldırı teknikleri her geçen gün gelişiyor. Ancak tehdir bazen burnumuzun dibinden geliyor. Burnumuzu dibi derken local ağımızı kastediyorum.

Bazı yerlerde tarzanca yazacağım, çünkü kelimelerin Türkçe karşılığını sevmiyorum ya da yeterli görmüyorum. Bu Türkçe’nin yetersiz bir dil olmasından değil kelimelerin orjinal kökenlerinin anlama daha uygun kaçmasından dolayıdır diye açıklamamı yapıp daha fazla uzatmadan konuya geçiyorum.

Çoğumuzun bildiği üzere OSI modeli 7 katmandan oluşmaktadır. Bunlardan 2. katman dendiğinde Data Link Layer yani MAC adresi, 3. katman dediğimizde network layer yani IP adresi anlaşılır diye hatırlatma yapalım.

2. katman sadece local ağı kapsar. Bu yüzden ağ içi saldırı dediğimizde ilk akla gelen saldırı tiplerinden biridir MAC flooding saldırısı.

Kısaca mantığını açıklamak gerekirse, switche çok sayıda istek gönderip MAC adres tablosunu şişirip, switche kafayı yedirtmek üzerine çalışır diyebiliriz. Kafayı yiyen swicth bir hub gibi davranmaya başlar ve broadcast yayın yapmaya başlar. Ağın broadcast trafikten yavaşlaması bir sorunken saldırganın bu trafiği dinleyebilmesi de cabası.

Bu yüzden bu saldırıya MAC address table overflowing attack da deniyormuş ama ben bir yerde duymadım :)

Fazlaca basic bir yöntem olduğu için port ve paket kısıtlamasıyla savunma ve korunma sağlanabilir.

Ama her zamanki gibi public internet( Kafe, otobüs gibi) ortamında denenebilir. Denemedim ama bence öyle bir ortamda çokta bir kısıt yoktur. (Tahminen tabi :))