Mac Flooding Attaque
1 Qu’est-ce qu’une adresse MAC ?
Une adresse MAC (de l’anglais Media Access Control), parfois nommée adresse physique, est un identifiant
physique stocké dans une carte réseau ou une interface réseau similaire. Elle est unique au monde. Toutes les
cartes réseau ont une adresse MAC, même celles contenues dans les PC et autres appareils connectés (tablette
tactile, smartphone, consoles de jeux, réfrigérateurs, montres, etc.).
- MAC constitue la partie inférieure de la couche de liaison (couche 2 du modèle OSI).
2 Comment fonctionne une adresse MAC ?
Lorsque les données sont envoyées sur un réseau, elles incluent les adresses MAC de l’expéditeur et du desti-
nataire. Les appareils utilisent ARP pour mapper les adresses IP aux adresses MAC au sein d’un réseau. Les
commutateurs et les routeurs utilisent les adresses MAC pour diriger les données vers les appareils appropriés.
Dans l’ensemble, les adresses MAC permettent une communication efficace entre les appareils d’un réseau.
3 Qu’est-ce que Mac Flooding?
Le MAC Flooding est une cyberattaque ciblant les commutateurs d’un réseau local (LAN). Cela implique l’envoi
de nombreux paquets avec de fausses adresses MAC pour faire déborder la table d’adresses du commutateur,
ce qui la rend pleine et incapable de traiter le trafic légitime. Une fois la table pleine, le commutateur inonde
tous les paquets vers tous les ports, transformant le commutateur en hub et provoquant potentiellement une
condition de déni de service (DoS). Un attaquant capable d’envoyer des trames à n’importe quel appareil du
réseau peut entreprendre plusieurs actions dommageables. Une telle entité peut intercepter le trafic réseau
ou même le modifier et utiliser cet accès dont elle dispose pour tenter d’accéder à des appareils auxquels elle
n’aurait autrement aucun accès.
4 Comment détecter une attaque par inondation MAC ?
Aucun signe ne peut confirmer que votre réseau est ciblé par une attaque par inondation MAC. La meilleure
option pour détecter les attaques par inondation MAC consiste à surveiller votre trafic réseau pour détecter
tout comportement anormal.
Si, par exemple, vous remarquez une augmentation soudaine du trafic réseau ou une réduction spectaculaire
de la vitesse, cela peut être dû à une surcharge de la table d’adresses MAC du commutateur. En cas d’attaque
1
�par inondation réussie, vous remarquerez peut-être que des données envoyées à votre appareil auraient dû être
transmises à un autre appareil de votre réseau.
Étant donné qu’il n’est pas toujours facile de détecter une attaque par inondation MAC, vous devez vous
concentrer sur les techniques de prévention pour vous assurer qu’elle ne se produise pas en premier lieu.
5 Techniques de prévention des inondations MAC
5.1 Port security :
Grâce à vos paramètres réseau, vous pouvez configurer la sécurité des ports, un ensemble de contrôles réseau
qui atténuent les risques d’attaques. Le processus varie en fonction du routeur que vous utilisez, mais dans la
plupart des cas, vous pouvez limiter le nombre de nouvelles adresses MAC pouvant être ajoutées à la table de
transfert ou sélectionner un nombre spécifique d’adresses qui ne doivent pas être écrasées lorsque la table est
épuisée. de l’espace. Les paramètres de sécurité des ports permettent au commutateur de continuer à enregistrer
les adresses MAC légitimes tout en limitant les entrées potentiellement malveillantes.
Vous pouvez accéder aux paramètres de votre routeur en tapant votre adresse IP dans la barre de votre
navigateur et en vous connectant (si les informations de connexion de votre routeur ne figurent pas à l’arrière
du routeur ou dans les documents qui l’accompagnent, vous pouvez obtenir ces informations auprès de votre
FAI) .
5.2 VLANs :
HI
Les réseaux locaux virtuels (VLAN) segmentent les réseaux en silos distincts qui fonctionnent comme des
réseaux individuels. Même si la table de transfert de commutateur d’un VLAN est submergée par une attaque
2
�par inondation d’adresses MAC, les autres segments du réseau ne seront pas affectés. Bien sûr, cela n’empêche
pas complètement l’attaque, mais cela limite ses dégâts potentiels.
5.3 Filtrage d’adresse MAC
Le filtrage d’adresses MAC implique la configuration d’un commutateur d’adresse MAC pour accepter unique-
ment les paquets provenant d’adresses MAC connues. Tous les paquets dont l’adresse MAC source ne figure
pas dans la liste approuvée ne seront pas enregistrés dans la table de transfert.
5.4 Surveillance du réseau
Vous pouvez utiliser des outils de surveillance du réseau pour rechercher les indicateurs d’inondation MAC,
entre autres menaces. Certains outils de surveillance peuvent également être configurés pour répondre automa-
tiquement à une attaque par inondation MAC en bloquant le trafic provenant du ou des appareils envoyant les
faux paquets de données.
6 Simulation d’attaque et configuration de sécurité :
dans cette section, nous simulerons l’attaque de Mac Flooding dans notre entreprise de réseau LAN, après quoi
nous verrons comment nous pouvons empêcher cette attaque en utilisant la fonction de sécurité des ports dans
les périphériques de commutation.
6.1 Simulation d’attaque :
3
�6.2 Atténuation :
Figure 1: Tous les ports de commutation comme access port
4
�Figure 2: Tous les ports de commutation comme access port
Figure 3: Tous les ports de commutation comme access port
Figure 4: Tous les ports de commutation comme access port
Figure 5: Tous les ports de commutation comme access port
Figure 6: Tous les ports de commutation comme access port
5
�Figure 7: Tous les ports de commutation comme access port