CAM Tablosu Nedir?

Cam tablosu, içerik adreslenebilir bellek (Content Addressable Memory) tablosu anlamı taşımaktadır. Fiziksel portlarda bulunan mac adreslerini, VLAN bilgileri ile birlikte saklamaktadır. Sabit bir boyuta sahiplerdir ve bunları, switch portlarına gelene frameleri nereye yönlendireceğini belirlemek adına, tabloda var olan verileri incelemektedir. Eğer veri tabloda yok ise, switch bulunduğu ağ içerisinde broadcast yaparak CAM tablosunu tekrardan güncellemektedir. Bu sayede, gelen framelerin yönlendirilme işleminin daha sağlıklı yapılması sağlanmaktadır.

Cam Overflow Nasıl Olur?

Switchler’de sınırlı sayıda cam tablosu yeri vardır. Yapılan bu saldırı neticesinde, sahte mac adreslerine sahip frameler yönlendirilerek cam tablosunun doldurulup, switchin bir hub gibi basit bir cihaza dönüştürmek amaçlanmaktadır. Bu sayede,  diğer hostlar arasında ki iletişim görüntülenebilir hatta switch çalışmaz duruma dahi gelmektedir.

Örnek:

Şekil 1

Şekil 1’de göreceğiniz üzere, switch üzerinde görünen bir tek mac address var ve bu bizim switchin Gi0/0 portuna takılı olan Şekil 2’ de ki kali linux makinemiz.

Şekil 2

Bu atağı yapmak için Kali Linux’da bulunan macof  toolunu kullanıyoruz.

Peki macof nedir?

 Perl dili ile yazılan ve Dsniff paketine paketlenmiş dakikada 155.000 MAC adresi gönderebilen bir tooldur.  Macof toolunda, saldırının yapıldığı ağı belirtmediğiniz taktirde kali linux makinesine bağlı bütün ağlara sahte mac adresleri eklenmiş frameler gönderecektir. Saldırıyı başlatttığımızda sahte mac adresi eklenmiş olan frameleri göndermeye başlamıştır.

Şekil 3

Şekil 4’de gördüğünüz üzere switchde ki cam tablosunda sahte mac adresleri yer almaktadır.

Şekil 4

Wire Shark Paket Analizi

Şekil 5

Engellemek İçin Neler Yapılabilinir?

Port Security: Bir porta tanımlanan sayılı MAC adresi sayısı dışında, başka bir mac adresi daha girmek isterse buna engel olmak için kullanılır. Örneğin, bir port üzerinden en fazla 4 adet öğrenilen mac adresi  bağlantı kurabilirken, 5. farklı bir mac adresi ile cihaz bağlanmak istediğinde, çeşitli modlar sayesinde bağlantının o cihaz için ya da o portu tamamen kapatarak engellenmesidir. Peki nedir bu modlar?

  1. Shutdown: belirlenen sayıdan fazla mac adresi paket göndermek istediğinde, ilgili portun tamamen kapatılarak o portu kullanan bütün cihazların bir birileri ile iletişimi kesmesidir.
  2. Protect: Farklı bir mac ile bağlantı sağlanmak istendiğinde, sadece o mac adresinin bağlantısı kesilip diğer cihazların kullanımını engellememektedir.
  3. Restrict: Farklı bir mac ile bağlantı sağlanmak istendiğinde, sadece o mac adresinin bağlantısını kesip diğer cihazların kullanımını engellerken bir log kaydı ile bu durumu bildirmektedir.

Port Security Konfigürsayonu

Şekil 6

Ayrıca port security ihlali ilgili interface’i error-disabled mode’a sokmaya zorlar.  Bu gibi durumlarda cihazın network ile bağlantısı kesilip, switchin ilgili portu önce kapatılıp sonra yeniden aktif hale getirilir. Interface’in error-disabled mode’da olup olmadığnı anlamak için, “show interfaces status err-disabled” komutu kullanılır.

Örnek bir error disabled modu:

Şekil 7

Kaynakça:

Port Security Attack & Mitigation

https://www.cbtnuggets.com/blog/technology/networking/cam-table-overflow-attack-explained