A kiszolgálóeszközök ellen irányuló elárasztásos támadások jellemzően a hálózaton kívülről érkeznek. Ez sajnos nem jelenti azt, hogy belülről vagy akár egyszerre mindkét irányból nem is érheti támadás őket. A lokális mindig veszélyesebb, mert az azt jelenti, hogy valaki(k) már áthatoltak egy biztonsági vonalon vagy megkerülték azt. Ebben az esetben a legjobb megoldás, hogy még mielőtt az offenzíva elérné a routert, egy másik hálózati eszköz megálljt parancsol neki. Ilyen hatékony védelemre képesek a Techson Layer 2 menedzselhető switchei is.
Az ilyen típusú belső kártékony tevékenységet közbeékelődéses támadásnak (man-in-the-middle attack) hívjuk.
Gyakori eset, hogy a nyitott és nem megfelelően védett vendég wifi vagy a hálózati eszközök szabadon hagyott portjai adják meg a lehetőséget az ilyen cselekmények elkövetésére.
Mi történik pontosan?
Az olyan népszerű szolgáltatások, mint például a CDP (Cisco Discovery Protocol), MNDP (MikroTik Neighbor Discovery protocol) kihasználhatóak. Azok a routerek, amelyek támogatják valamelyik protokollt, veszélyben lehetnek.
A támadás során nagymennyiségű hamisított MAC-címmel árasztja el a hacker a routert, ami nagyon rövid időn belül már nem képes több információt fogadni és feldolgozni, ezáltal túlterhelődik. Ennek látványos következménye a hálózat drasztikus belassulása vagy az eszköz folyamatos újraindulása. Ha sikerül a kiszolgáló kezelő felületére belépni, ott is látható lesz a CPU és memória teljes kihasználtsága.
Másik típusa ennek az elárasztásnak, amikor a hacker a DHCP szervert ostromolja,
ezt DHCP kiéheztetésnek (DHCP starvation) hívjuk.
Az elv azonos, mint az előző támadási formánál, ugyanúgy a MAC-címek hamisításával érik el az eszköz kiiktatását a hálózatból. A DHCP szervertől hamisított MAC-címek segítségével szereznek IP-címet, a szerver ki is szolgálja ezeket a kéréseket, mindegyik igényléshez felkínál egy-egy IP-címet. Ekkor a hacker nem fogadja el egyiket sem, hanem újabbakat követel, ezeket ismételten megpróbálja teljesíteni a kiszolgáló.
Amint elfogy az IP-medencéből (pool) a szabad cím, akkor elkezd lassulni a router. Mivel a kérések folyamatosan érkeznek, ezáltal szintén túlterhelődik az eszköz, új IP-címet már annak a kliensnek sem fog tudni adni, amelyiknek valóban szüksége lenne rá. Ezen a ponton bekövetkezik a hálózat összeomlása: először megáll az internethozzáférés, utána a hálózati kapcsolatok is bomlanak. A router használhatatlanná válik, majd újraindul, de hiába, mert a támadás nem marad abba. Mindez a másodperc töredéke alatt bekövetkezik, ezzel a túlerővel a támadó mindenképp győzni fog.
Mi a megoldás?
Egyszerűbb, mint gondolnád: a switch fogja megállítani a támadókat! A menedzselhető Techson switchek rendelkeznek azzal a képességgel, hogy digitális pajzsként védjék a routert. Ez a funkció a MAC address limit. Meg kell adni, hogy hány darab MAC-cím az, amit a switch megtanulhat és tárolhat portonként. Ahol a router és a switch csatlakozik egymáshoz, arra a portra nem állítunk be korlátozást, viszont az összes többire igen. Ezzel az egyszerű módszerrel mindkét támadás megállítható, ráadásul így a switch MAC-cím táblája sem telik meg kamu bejegyzésekkel.
Ne felejtsd el!
A védelem nem egy, hanem több eszközből áll, amik csoportban együtt működve nyújtanak biztonságot! Védd a hálózatod a belső támadásoktól is, ne csak kívülről!
