Lapisan data link bertindak sebagai media untuk komunikasi antara dua host yang terhubung langsung. Di bagian depan pengirim, ia mengubah aliran data menjadi sinyal sedikit demi sedikit dan mentransfernya ke perangkat keras. Sebaliknya, sebagai penerima, ia menerima data dalam bentuk sinyal listrik dan mengubahnya menjadi bingkai yang dapat diidentifikasi.
MAC dapat diklasifikasikan sebagai sublapisan dari lapisan data link yang bertanggung jawab untuk pengalamatan fisik. Alamat MAC adalah alamat unik untuk adaptor jaringan yang dialokasikan oleh pabrikan untuk mentransmisikan data ke host tujuan. Jika perangkat memiliki beberapa adapter jaringan yaitu,Ethernet, Wi-Fi, Bluetooth, etc., akan ada alamat MAC yang berbeda untuk setiap standar.
Dalam artikel ini, Anda akan mempelajari bagaimana sublapisan ini dimanipulasi untuk mengeksekusi serangan banjir MAC dan bagaimana kami dapat mencegah serangan itu terjadi.
pengantar
MAC (Media Access Control) Flooding adalah serangan cyber di mana penyerang membanjiri switch jaringan dengan alamat MAC palsu untuk membahayakan keamanan mereka. Switch tidak menyiarkan paket jaringan ke seluruh jaringan dan menjaga integritas jaringan dengan memisahkan data dan memanfaatkanVLANs (Virtual Local Area Network).
Motif di balik serangan MAC Flooding adalah untuk mencuri data dari sistem korban yang sedang ditransfer ke jaringan. Ini dapat dicapai dengan memaksa isi tabel MAC switch yang sah keluar, dan perilaku unicast switch. Hal ini menghasilkan transfer data sensitif ke bagian lain dari jaringan dan akhirnya mengubah sakelar menjadi hub dan menyebabkan sejumlah besar frame masuk membanjiri semua port. Oleh karena itu, ini juga disebut serangan tabel alamat MAC yang meluap.
Penyerang juga dapat menggunakan serangan spoofing ARP sebagai serangan bayangan untuk memungkinkan dirinya untuk terus memiliki akses ke data pribadi setelah switch jaringan mengambil sendiri dari serangan awal MAC flooding.
Menyerang
Untuk menjenuhkan tabel dengan cepat, penyerang membanjiri sakelar dengan sejumlah besar permintaan, masing-masing dengan alamat MAC palsu. Ketika tabel MAC mencapai batas penyimpanan yang dialokasikan, itu mulai menghapus alamat lama dengan yang baru.
Setelah menghapus semua alamat MAC yang sah, sakelar mulai menyiarkan semua paket ke setiap port sakelar dan mengambil peran sebagai hub jaringan. Sekarang, ketika dua user yang valid mencoba untuk berkomunikasi, data mereka diteruskan ke semua port yang tersedia, mengakibatkan serangan tabel MAC flooding.
Semua user yang sah sekarang dapat membuat entri sampai ini selesai. Dalam situasi ini, entitas jahat menjadikannya bagian dari jaringan dan mengirim paket data berbahaya ke komputer user.
Akibatnya, penyerang akan dapat menangkap semua lalu lintas masuk dan keluar yang melewati sistem user dan dapat mengendus data rahasia yang dikandungnya. Cuplikan berikut dari alat sniffing, Wireshark, menampilkan bagaimana tabel alamat MAC dibanjiri dengan alamat MAC palsu.
Pencegahan Serangan
Kita harus selalu mengambil tindakan pencegahan untuk mengamankan sistem kita. Untungnya, kami memiliki alat dan fungsi untuk menghentikan penyusup memasuki sistem dan untuk menanggapi serangan yang membahayakan sistem kami. Menghentikan serangan MAC flooding dapat dilakukan dengan keamanan port.
Kita dapat mencapainya dengan mengaktifkan fitur ini dalam keamanan port dengan menggunakan perintah port-security switchport.
Tentukan jumlah maksimum alamat yang diizinkan pada interface menggunakan perintah nilai “switchport port-security maximum” seperti di bawah ini:
switch port-security maximum 5
Dengan mendefinisikan alamat MAC dari semua perangkat yang dikenal:
switch port-security maximum 2
Dengan menunjukkan apa yang harus dilakukan jika salah satu syarat di atas dilanggar. Ketika terjadi pelanggaran terhadap Keamanan Port sakelar, sakelar Cisco dapat dikonfigurasi untuk merespons dengan salah satu dari tiga cara; Lindungi, Batasi, Matikan.
Mode proteksi adalah cara pelanggaran keamanan dengan keamanan paling rendah. Paket yang memiliki alamat sumber tak dikenal akan dihapus, jika jumlah alamat MAC yang diamankan melebihi batas port. Ini dapat dihindari jika jumlah alamat maksimum yang ditentukan ya
ng dapat disimpan di port ditingkatkan atau jumlah alamat MAC yang diamankan diturunkan. Dalam kasus ini, tidak ada bukti yang dapat ditemukan tentang pelanggaran data.
Tetapi dalam cara terbatas, pelanggaran data dilaporkan, ketika pelanggaran keamanan port terjadi dalam cara pelanggaran keamanan default, interface dinonaktifkan error dan LED port dimatikan. Penghitung pelanggaran bertambah.
Perintah cara shutdown dapat digunakan untuk mengeluarkan port aman dari status error-disabled. Itu dapat diaktifkan dengan perintah yang disebutkan di bawah ini:
switch port-security violation shutdown
Selain itu, tidak ada perintah cara pengaturan interface shutdown yang dapat digunakan untuk tujuan yang sama. Mode ini dapat diaktifkan dengan menggunakan perintah yang diberikan di bawah ini:
switch port-security violation protect
switch port-security violation restrict
Serangan ini juga dapat dicegah dengan mengautentikasi alamat MAC terhadap server AAA yang dikenal sebagai server otentikasi, otorisasi, dan akuntansi. Dan dengan menonaktifkan port yang tidak terlalu sering digunakan.
Kesimpulan
Efek serangan banjir MAC dapat berbeda dengan mempertimbangkan cara penerapannya. Hal ini dapat mengakibatkan kebocoran informasi pribadi dan sensitif user yang dapat digunakan untuk tujuan jahat, sehingga pencegahannya diperlukan. Serangan banjir MAC dapat dicegah dengan banyak metode termasuk otentikasi alamat MAC yang ditemukan terhadap Server “AAA”, dll.
