Saturation de la table d'apprentissage
Dans le cadre du réseau informatique, la saturation de la table d'apprentissage (MAC flooding en anglais) est une technique employée pour compromettre la sécurité des commutateurs réseau.
Principe
Les commutateurs tiennent à jour une table d'apprentissage qui associe les adresses MAC Ethernet (des équipements connectés) aux différents ports physiques du commutateur. Cela permet au commutateur d'envoyer les trames Ethernet directement aux machines à qui elles sont destinées. Pour cela, le commutateur regarde l'adresse destination de la trame, puis il en déduit le port correspondant qui figure dans la table d'apprentissage.
Cette méthode d'envoi ciblé s'oppose à la diffusion (broadcast) aveugle telle qu'elle est pratiquée par les concentrateurs (hubs) et qui consiste à envoyer sur tous les ports, que le destinataire y soit connecté ou pas. Dans le processus d'apprentissage, le commutateur apprend les adresses MAC associées à chaque port en regardant les adresses sources des trames qui le traversent.
Dans une attaque par saturation, le pirate envoie de nombreuses trames Ethernet au commutateur, chacune d'entre elles ayant une adresse MAC source différente. Le but est de remplir l'espace nécessairement limité de la mémoire du commutateur consacré à la table d'apprentissage[1].
L'effet de cette attaque peut varier suivant la marque et le modĂšle du commutateur. L'effet dĂ©sirĂ© par l'attaquant est nĂ©anmoins que le commutateur se mette Ă envoyer les trames sur tous les ports, y compris Ă cet attaquant, qui pourra ainsi Ă©couter des Ă©changes qui ne le concernent pas. Il se peut en effet que les adresses lĂ©gitimes soient expulsĂ©es de la table d'apprentissage quand celle-ci sature, ou que de nouvelles adresses lĂ©gitimes ne puissent plus ĂȘtre apprises.
Contre-mesures
Les mesures suivantes visent Ă empĂȘcher les attaques par saturation de la table d'apprentissage :
- Les fabricants de commutateurs peuvent fournir une fonctionnalitĂ© souvent appelĂ©e « sĂ©curitĂ© de port » (port security), et qui consiste Ă limiter le nombre d'adresses qui peuvent ĂȘtre apprises sur les ports connectĂ©s aux ordinateurs[2].
- Les adresses MAC apprises par le commutateur peuvent ĂȘtre vĂ©rifiĂ©es sur un serveur AAA d'authentification centralisĂ©e.
Articles connexes
- ARP spoofing, une autre technique de couche 2 qui permet d'Ă©couter des trames dont on n'est pas le destinataire.
Notes et références
- (en) CISCO, " VLAN Security White Paper (Cisco Catalyst 6500 Series Switches)
- (en) Linksys, Business Series Smart Gigabit Ethernet Switch User Guide, page 22, 2007