Un conmutador o switch es un dispositivo que opera en la capa de enlace de datos del modelo OSI.
Su función es interconectar dos o más segmentos de red, de manera similar a los puentes de red, pasando datos de un segmento a otro de acuerdo con la dirección MAC de destino de las tramas en la red.
Los conmutadores o switches tiene una tabla que se llama CAM, donde almacenan las MAC origen y la asocia al puerto por donde las aprendió. Esta tabla tiene un limite de entradas que puede ser sobrepasado provocando problemas en el equipo y en el sistema de red.
El ataque del que vamos a hablar hoy explota una limitación hardware de los conmutadores.
Este ataque consiste en inundar con direcciones MAC falsa la CAM hasta sobrepasar su almacenamiento y así conseguir que el conmutador se comporte como un hub e inunde todos los puertos del conmutador con tráfico.
Este tipo de trafico se realiza para poder capturar trafico de la red o incluso llegar a tirar el sistema de red de una empresa. Para parar este tipo de ataque podremos segurizar los puertos a nivel 2 de los conmutadores, a continuación muestro el procedimiento de cómo activar esta seguridad en algunos de los fabricantes más importantes.
- Ataques de redireccionamiento ICMP:
- Los mensajes de redirección de ICMP se utilizan para redirigir un host de origen para usar una puerta de enlace diferente que pueda estar más cerca del destino. Estos mensajes de redirección son enviados por la puerta de enlace de recepción y el host de origen debe adaptar su reenvío en consecuencia cuando recibe este mensaje. Los redireccionamientos ICMP se utilizan con mayor frecuencia en entornos de enrutamiento de origen donde el host de origen calcula rutas de enrutamiento a todos los destinos. Los redireccionamientos ICMP también se pueden usar para amplificar ataques SMURF o FRAGGLE o para configurar ataques Man-in-the-Middle.
- Ataque de transferencia de zona DNS:
Una solicitud de transferencia de zona a un servidor DNS devuelve una lista completa de nombres de host y direcciones IP en el dominio. Por lo general, las transferencias de zona solo deben realizarse entre servidores DNS autoritativos para un dominio. Los atacantes pueden consultar servidores DNS para compilar una lista de posibles hosts para atacar. Esta firma detecta transferencias de zona intentadas desde fuentes distintas a los servidores DNS.
¿Cómo prevenir los ataques CAM Overflow?
Para prevenir este tipo de ataque, cambiaremos el puerto a un puerto de acceso emitiendo acceso en modo de puerto de conmutación. Luego asignaremos la cantidad máxima de direcciones MAC en las que se almacenará la tabla CAM para esta interfaz.
Finalmente elegiremos nuestra acción de violación que se aplicará cuando el usuario (atacante) intente generar más de X direcciones MAC asociadas al mismo puerto. Elegimos cerrar este puerto, ahora si el atacante intenta realizar este ataque nuevamente en dicho swhit su puerto se apagará automáticamente, también se generará un registro en este que informa al administrador que el (atacante) MAC la dirección en este puerto estaba tratando de atacarnos y el estado del puerto ahora está abajo/cerrado.
Fuente: http://networkingbasico.blogspot.com/2011/09/ataque-cam-table-overflow-o-mac.html
Fuente: https://ciberseguridad.blog/25-tipos-de-ataques-informaticos-y-como-prevenirlos/
Seguridad Informática 