MAC 홍수

컴퓨터 네트워킹에서, 미디어 액세스 제어 공격이나 MAC 플러딩은 네트워크 스위치의 보안을 손상시키기 위해 채택된 기술이다. 공격은 스위치에서 합법적인 MAC 테이블 컨텐츠를 강제로 빼내고 유니캐스트 플러딩 동작이 일반적으로 의도하지 않은 네트워크 부분으로 중요한 정보를 잠재적으로 전송하도록 하는 방식으로 작동한다.

공격방법

스위치는 네트워크의 개별 MAC 주소를 스위치의 물리적 포트에 매핑하는 MAC 테이블을 유지한다. 이는 이더넷 허브가 하는 것처럼 모든 포트에서 데이터를 무분별하게 방송하는 것과 달리 스위치가 수신자가 있는 물리적 포트에서 데이터를 전송할 수 있게 한다. 이 방법의 장점은 데이터가 특별히 목적한 컴퓨터를 포함하는 네트워크 세그먼트에만 데이터가 브리징된다는 것이다.

일반적인 MAC 플러딩 공격에서 스위치는 공격자에 의해 각각 다른 소스 MAC 주소를 포함하는 많은 이더넷 프레임을 공급받는다. 그 목적은 스위치에 별도로 설정된 제한된 메모리를 MAC 주소 테이블을 저장하는 것이다.^[1]

이 공격의 영향은 구현에 따라 다를 수 있지만, (공격자에 의한) 원하는 효과는 합법적인 MAC 주소를 MAC 주소 테이블 밖으로 강제 내보내 모든 포트에 상당한 양의 들어오는 프레임이 플러딩되도록 하는 것이다. MAC 홍수 공격이 그것의 이름을 얻은 것은 이 홍수 행동에서이다.

MAC 플러딩 공격이 성공하면 악의적인 사용자는 패킷 분석기를 사용하여 다른 컴퓨터 간에 전송되는 민감한 데이터를 캡처할 수 있는데, 스위치가 정상적으로 작동하면 접근할 수 없을 것이다. 공격자는 또한 초기 MAC 홍수 공격으로부터 스위치가 복구된 후에도 특권 데이터에 대한 액세스를 유지할 수 있는 ARP 스푸핑 공격을 추적할 수 있다.

MAC 플러딩은 기본적인 VLAN 호핑 공격으로도 사용될 수 있다.^[2]

대책

MAC 홍수 공격을 방지하기 위해, 네트워크 운영자는 대개 네트워크 장비에 하나 이상의 기능이 있는 것에 의존한다.

• 벤더에 의해 종종 "포트 보안"이라고 불리는 기능으로, 엔드 스테이션에 연결된 포트에서 학습할 수 있는 MAC 주소의 수를 제한하도록 많은 고급 스위치를 구성할 수 있다.^[3] 기존 MAC 주소 테이블에 추가하여(그리고 하위 집합으로) 더 작은 보안 MAC 주소 테이블이 유지된다.
• 많은 공급업체는 검색된 MAC 주소가 인증, 인증 및 계정(AAA) 서버에 대해 인증되고 이후 필터링되는 것을 허용한다.^[4]
• IEEE 802.1X 제품군을 구현하면 흔히 AAA 서버가 MAC 주소를 포함한 클라이언트에 대해 동적으로 학습한 정보를 기반으로 패킷 필터링 규칙을 명시적으로 설치할 수 있다.
• 경우에 따라 ARP 스푸핑 또는 IP 주소 스푸핑을 방지하기 위한 보안 기능도 유니캐스트 패킷에서 추가 MAC 주소 필터링을 수행할 수 있지만, 이는 구현에 따른 부작용이다.
• 알 수 없는 MAC 주소에 대해 정상적인 유니캐스트 홍수를 방지하기 위해 위와 함께 추가적인 보안 조치를 적용하는 경우도 있다.^[5] 이 기능은 일반적으로 "포트 보안" 기능에 의존하여 모든 보안 MAC 주소가 계층 3 장치의 ARP 테이블에 유지되는 한 최소한 그 주소를 유지한다. 따라서 학습된 보안 MAC 주소의 노후화 시간은 별도로 조정할 수 있다. 이 기능은 MAC 홍수 공격의 영향을 완화할 뿐만 아니라 정상적인 운영 상황에서 패킷이 범람하는 것을 방지한다.

참조