tags: MAC_flooding macof active_sniffing yersinia
Il flooding MAC è una tecnica utilizzata per compromettere la sicurezza degli switch di rete che collegano segmenti di rete o dispositivi di rete. Gli aggressori utilizzano la tecnica del flooding MAC per forzare uno switch a fungere da hub, in modo da poter facilmente sniffare il traffico. Macof è uno strumento Unix e Linux che fa parte della raccolta dsniff. Inonda la rete locale con indirizzi MAC e indirizzi IP casuali, causando il guasto di alcuni switch e l’apertura in modalità ripetuta, facilitando così lo sniffing. Questo strumento inonda le tabelle CAM dello switch (131.000 al minuto) inviando voci MAC contraffatte. Quando la tabella MAC si riempie, lo switch si converte in un’operazione simile a un hub in cui un aggressore può monitorare i dati trasmessi.
Ricorda che devi mantenere attivo lo strumento di MAC flooding (macof, yersinia, ecc.) mentre sniffi, perché lo switch potrebbe “ripulire” la sua tabella CAM e tornare al funzionamento normale se smetti di inviare MAC fasulli
MACOF
Il suo utilizzo è semplice per inviare un determinato numero di pacchetti possiamo usare il seguente comando:
sudo apt-get update && sudo apt-get install dsniff
sudo macof -i <interfaccia di rete>
Mentre per inviare pacchetti ad un determinato indirizzo IP:
sudo macof -i <interfaccia di rete> -d <indirizzo IP>Yersinia
Questo strumento permette di fare la stessa operazione ed è possibile farlo tramite interfaccia grafica o da terminale:
sudo apt-get update && sudo apt-get install yersinia
#Da terminale usa questo comando:
sudo yersinia CAM -attack 1 -interface eth0
#Per attivare questo programma in interactive mode:
sudo yersinia -I
#Nella interactive mode ci si sposta di pagina con F1,F2,ecc e con x su ogni pagina vedi i tipi di attacco che puoi fare
#Avviare yersinia in modalità grafica
sudo yersinia -G
Naviga nell’Interfaccia:
Si aprirà un’interfaccia testuale. Premi h per vedere l’aiuto e i comandi disponibili. Premi l (elle minuscola) per vedere la lista delle interfacce di rete. Seleziona l’interfaccia corretta (es. eth0) usando i tasti freccia e premi Invio. Usa i tasti funzione (F1, F2, ecc.) o altri tasti indicati nell’aiuto per cambiare modalità/protocollo. Vogliamo attaccare la tabella CAM dello switch (associata al protocollo MAC/Ethernet). Potrebbe essere necessario premere g per selezionare il protocollo, scegliere CAM (o Ethernet/MAC Table), e poi premere x per eseguire un attacco. Nella lista degli attacchi disponibili per CAM/MAC Table, cerca e seleziona l’opzione “flooding CAM table” o simile (spesso è l’attacco numero 1). Avvia l’Attacco: Premi Invio (o il tasto indicato) per lanciare l’attacco selezionato. Yersinia inizierà a inviare i pacchetti.
Avvia lo Sniffer (Contemporaneamente): Come con macof, mentre Yersinia è in esecuzione e sta effettuando il flooding, apri un altro terminale e avvia Wireshark o tcpdump sulla stessa interfaccia per catturare il traffico.