Ataque MAC flooding

"Mac flooding", o inundar la tabla CAM de un "switch", hace que este no sepa qué dirección MAC corresponde a cada puerto físico de los que tiene conectados, por lo que cuando recibe una trama tiene que enviarla en "broadcast" por todos los puertos para asegurarse de que llega a su destinatario, esté en el puerto Ethernet del "switch" que esté. Este ataque puede emplearse para que un atacante conectado a un puerto cualquiera del "switch", cuando este transmite todo en modo "broadcast", pueda recibir todas esas demás comunicaciones y monitorizarlas, por ejemplo, para hacer "sniffing". Para desarrollar este ataque vamos a Kali Linux, por ejemplo, y vamos a utilizar una herramienta tan sencilla como 'macof': 'man macof'. Tenemos la descripción básica y tenemos las opciones. Podemos indicar la interfaz con '-i', la fuente para especificar una dirección IP de origen que no tiene por qué ser la nuestra, una dirección IP de destino para indicar a quién atacamos, especificar una dirección de objetivo a nivel de enlace, es decir, una dirección MAC, y podemos especificar también origen de puerto TCP, destino de puerto TCP y el número de veces que queremos hacerlo. Salimos de la ayuda y, por si no nos hemos fijado, en la propia ayuda nos especifica también que es interesante echar un vistazo a este comando que permite hacer monitorización de tráfico de manera mucho más sencilla que con Wireshark, por ejemplo, dado que lo que va a buscar son conexiones FTP, Telnet, HTTP... de tipo que sean, pero que incluyan parejas de usuario y contraseña. ¿Por qué? Porque si somos capaces de inundar la red saturando la tabla CAM del "switch" y haciendo que podamos recibir todo el tráfico que circula por la red, ejecutando en otra ventana de terminal esta aplicación podremos capturar pares de usuario/contraseña para ver dónde se están conectando y con qué credenciales los demás usuarios de la red. En este caso, vamos a ejecutar 'macof' contra la pasarela de comunicaciones del servidor de máquinas virtuales que estamos utilizando, porque recordamos que estamos trabajando siempre en máquinas virtuales de nuestra propiedad para evitar conflicto con el resto de equipos de la red. Si hacemos esto en un entorno real, debe ser una red de la que seamos propietarios o en la que tengamos permiso por escrito para hacer este tipo de actividades. Entonces, para ver cómo se vería un ataque, simplemente tenemos que hacer 'macof', identificar la tarjeta de red, 'eth0', y el destino, que en este caso pues va a ser la dirección de pasarela de VMware. Como podemos ver, lo que se está haciendo es enviar todo este tráfico. Podemos pararlo. En esta ocasión, tengo Wireshark activado capturando el tráfico para que podamos ver cómo se desarrolla, así que vamos a volver a lanzar el ataque, lo paramos y ahora podemos ver todas las comunicaciones que había, en este caso, con direcciones IP falsas intentando engañar. Indican direcciones IP todas contra el mismo destino, direcciones IP falsas, cada una con una dirección MAC distinta, como podemos ver aquí abajo. En esta sección podemos ver esa información. Y lanza miles y miles de estos mensajes para inundar la tabla CAM, forzando al "switch" a comportarse en modo "broadcast".