2.3 Útoky na linkové vrstvě (L2)
Pokud se útočník nachází v lokální přepínané síti (využívající switche), musí k zachycení cizího provozu použít aktivní útoky. Ty často zneužívají způsob, jakým switche a koncová zařízení zpracovávají adresování na vrstvě L2, především MAC adresy a ARP protokol.
Switch a CAM tabulky
Content-Addressable Memory (CAM)
Switch si udržuje tabulku mapování MAC adres na konkrétní fyzické porty (MAC adresní tabulka, tzv. CAM paměť). Když na port dorazí rámec, switch se podívá na zdrojovou MAC adresu a uloží si ji společně s informací, na jakém portu dané zařízení sedí. Díky tomu následně ví, kam má přeposílat rámce směřující na danou cílovou MAC adresu, a nerozesílá je všem (čímž izoluje provoz a zvyšuje bezpečnost).
Útok MAC Flooding
CAM tabulky mají omezenou kapacitu paměti. MAC Flooding je technika, která se tohoto limitu snaží zneužít a donutit switch chovat se jako obyčejný hub.
- Útočník začne bombardovat port switche obrovským množstvím ethernetových rámců s různými (podvrženými) zdrojovými MAC adresami.
- Kapacita CAM tabulky se velmi rychle zaplní těmito falešnými mapováními MAC adres na port útočníka.
- Jakmile je CAM tabulka plná a dorazí legitimní rámec určený pro neznámou MAC adresu (která už v paměti není nebo se tam nevešla), switch neví, kam ho přeposlat.
- Switch následně vstoupí do tzv. fail-open módu a začne chybějící rámce posílat na všechny porty, tedy se začne chovat jako hub.
- Výsledkem je takzvaný downgrade attack, díky němuž může útočník pasivně snifovat cizí komunikaci.
Nástroj
Pro provedení MAC flooding útoku se používá například nástroj
macof.ARP Spoofing a Cache Poisoning
Protokol ARP (Address Resolution Protocol) překládá IP adresy (L3) na MAC adresy (L2). Rámce ARP se však obvykle nijak neověřují. Lze tak relativně snadno odeslat falešnou ARP odpověď.
ARP Cache Poisoning
Technika zneužívající důvěřivost ARP protokolu. Útočník odešle síťovým uzlům (např. oběti a její default gateway) nevyžádané (gratuitous) ARP odpovědi (ARP Reply), v nichž tvrdí, že MAC adresa patřící útočníkovi odpovídá IP adrese protistrany. Tím otráví jejich vyrovnávací paměť (ARP cache).
Důsledkem otrávení ARP cache je přesměrování síťového toku:
- Oběť se snaží komunikovat do internetu (IP adresa gateway), ale rámce posílá na MAC adresu útočníka.
- Útočník tyto rámce zachytí, přečte si je, případně modifikuje (Man-in-the-Middle) a přepošle je pravé gateway.
- Gateway odpovídá a komunikace je opět směrována skrz útočníka zpět k oběti.
Nástroje pro ARP Spoofing
Nejznámější nástroje pro provádění těchto útoků jsou Ettercap, bettercap a také knihovna Scapy.