CAM Tablosu Nedir?
Cam tablosu, içerik adreslenebilir bellek (Content Addressable Memory) tablosu anlamı taşımaktadır. Fiziksel portlarda bulunan mac adreslerini, VLAN bilgileri ile birlikte saklamaktadır. Sabit bir boyuta sahiplerdir ve bunları, switch portlarına gelene frameleri nereye yönlendireceğini belirlemek adına, tabloda var olan verileri incelemektedir. Eğer veri tabloda yok ise, switch bulunduğu ağ içerisinde broadcast yaparak CAM tablosunu tekrardan güncellemektedir. Bu sayede, gelen framelerin yönlendirilme işleminin daha sağlıklı yapılması sağlanmaktadır.
Cam Overflow Nasıl Olur?
Switchler’de sınırlı sayıda cam tablosu yeri vardır. Yapılan bu saldırı neticesinde, sahte mac adreslerine sahip frameler yönlendirilerek cam tablosunun doldurulup, switchin bir hub gibi basit bir cihaza dönüştürmek amaçlanmaktadır. Bu sayede, diğer hostlar arasında ki iletişim görüntülenebilir hatta switch çalışmaz duruma dahi gelmektedir.
Örnek:
Şekil 1’de göreceğiniz üzere, switch üzerinde görünen bir tek mac address var ve bu bizim switchin Gi0/0 portuna takılı olan Şekil 2’ de ki kali linux makinemiz.
Bu atağı yapmak için Kali Linux’da bulunan macof toolunu kullanıyoruz.
Peki macof nedir?
Perl dili ile yazılan ve Dsniff paketine paketlenmiş dakikada 155.000 MAC adresi gönderebilen bir tooldur. Macof toolunda, saldırının yapıldığı ağı belirtmediğiniz taktirde kali linux makinesine bağlı bütün ağlara sahte mac adresleri eklenmiş frameler gönderecektir. Saldırıyı başlatttığımızda sahte mac adresi eklenmiş olan frameleri göndermeye başlamıştır.
Şekil 4’de gördüğünüz üzere switchde ki cam tablosunda sahte mac adresleri yer almaktadır.
Wire Shark Paket Analizi
Engellemek İçin Neler Yapılabilinir?
Port Security: Bir porta tanımlanan sayılı MAC adresi sayısı dışında, başka bir mac adresi daha girmek isterse buna engel olmak için kullanılır. Örneğin, bir port üzerinden en fazla 4 adet öğrenilen mac adresi bağlantı kurabilirken, 5. farklı bir mac adresi ile cihaz bağlanmak istediğinde, çeşitli modlar sayesinde bağlantının o cihaz için ya da o portu tamamen kapatarak engellenmesidir. Peki nedir bu modlar?
- Shutdown: belirlenen sayıdan fazla mac adresi paket göndermek istediğinde, ilgili portun tamamen kapatılarak o portu kullanan bütün cihazların bir birileri ile iletişimi kesmesidir.
- Protect: Farklı bir mac ile bağlantı sağlanmak istendiğinde, sadece o mac adresinin bağlantısı kesilip diğer cihazların kullanımını engellememektedir.
- Restrict: Farklı bir mac ile bağlantı sağlanmak istendiğinde, sadece o mac adresinin bağlantısını kesip diğer cihazların kullanımını engellerken bir log kaydı ile bu durumu bildirmektedir.
Port Security Konfigürsayonu
Ayrıca port security ihlali ilgili interface’i error-disabled mode’a sokmaya zorlar. Bu gibi durumlarda cihazın network ile bağlantısı kesilip, switchin ilgili portu önce kapatılıp sonra yeniden aktif hale getirilir. Interface’in error-disabled mode’da olup olmadığnı anlamak için, “show interfaces status err-disabled” komutu kullanılır.
Örnek bir error disabled modu:
Kaynakça:
https://www.cbtnuggets.com/blog/technology/networking/cam-table-overflow-attack-explained
Comments