MAC Flooding: Apa Itu dan Bagaimana Mencegahnya

Apa itu banjir MAC?

Banjir MAC mengeksploitasi alamat MAC (Kontrol Akses Media). Setiap perangkat memiliki alamat MAC, pengidentifikasi numerik unik yang digunakan untuk mengidentifikasi perangkat tersebut di dalam jaringan. Ketika data dikirim antar perangkat di jaringan, ia melintasi sistem yang disebut sakelar. Sakelar bertindak sebagai semacam titik penyortiran, menerima paket data dan meneruskannya ke perangkat yang tepat di jaringannya.

Sakelar juga memelihara tabel penerusan—pada dasarnya buku alamat yang mencocokkan alamat MAC ke port jaringan. Ketika menerima paket data dengan alamat MAC baru, ia menyimpan alamat itu di tabel penerusannya dan mengaitkannya dengan port jaringan tertentu.

Dalam serangan banjir MAC, penyerang membanjiri tabel alamat MAC jaringan dengan paket data palsu dengan alamat MAC sumber yang berbeda. Tabel akan secara otomatis menambahkan alamat MAC baru ini ke tabelnya sampai penuh dan tidak dapat menambahkan lagi alamat MAC baru.

Pada saat itu, ia memasuki keadaan yang disebut “mode buka-gagal” di mana semua paket data yang baru diterima dikirim ke setiap port (dan perangkat) di jaringannya. Singkatnya, peretas menonaktifkan fungsi buku alamat, dan sakelar, masih bertekad untuk meneruskan paket data baru, hanya mendistribusikannya ke seluruh jaringan. Karena peretas terhubung ke jaringan, dia dapat melihat data orang lain.

Cara mendeteksi serangan banjir MAC

Tidak ada tanda tunggal yang dapat mengonfirmasi bahwa jaringan Anda adalah target serangan banjir MAC. Cara terbaik untuk menemukan serangan banjir MAC adalah dengan memantau lalu lintas jaringan Anda untuk perilaku anomali.

Misalnya, jika Anda melihat peningkatan lalu lintas jaringan yang tiba-tiba atau penurunan kecepatan yang dramatis, ini mungkin karena tabel alamat MAC sakelar kelebihan beban. Jika serangan banjir berhasil, Anda mungkin menemukan bahwa data dikirim ke perangkat Anda yang seharusnya diteruskan ke perangkat lain di jaringan Anda.

Karena mendeteksi serangan banjir MAC tidak selalu mudah, Anda harus fokus pada teknik pencegahan untuk memastikan hal itu tidak terjadi sejak awal.

Teknik Pencegahan Banjir MAC

Gunakan tips di bawah ini untuk mengurangi kemungkinan serangan banjir MAC yang berhasil di jaringan Anda.

keamanan pelabuhan

Melalui pengaturan jaringan, Anda dapat menyiapkan keamanan port, serangkaian kontrol jaringan yang mengurangi risiko serangan. Prosesnya bervariasi tergantung pada router yang Anda gunakan, tetapi dalam banyak kasus Anda dapat membatasi jumlah alamat MAC baru yang dapat ditambahkan ke tabel penerusan, atau memilih nomor alamat tertentu yang tidak akan ditimpa saat tabel kehabisan Ruang. Pengaturan keamanan port memungkinkan sakelar untuk terus menyimpan alamat MAC yang sah sambil membatasi masukan yang berpotensi berbahaya.

Anda dapat mengakses pengaturan router Anda dengan mengetikkan alamat IP Anda ke bilah browser dan masuk (jika detail login router Anda tidak ada di bagian belakang router atau di kertas yang menyertainya, Anda bisa mendapatkan detail ini dari ISP Anda) . .

VLAN

LAN Virtual (VLAN) membagi jaringan menjadi silo terpisah yang bertindak sebagai jaringan individual. Bahkan jika tabel penerusan sakelar untuk VLAN kewalahan oleh serangan banjir alamat MAC, segmen lain dari jaringan tidak terpengaruh. Tentu saja, ini tidak sepenuhnya mencegah serangan, tetapi membatasi potensi kerusakannya.

Penyaringan alamat MAC

Dengan pemfilteran alamat MAC, sakelar alamat MAC dikonfigurasi untuk hanya menerima paket dari alamat MAC yang diketahui. Paket apa pun dengan alamat MAC sumber yang tidak ada dalam daftar yang disetujui tidak akan disimpan di tabel penerusan.

pemantauan jaringan

Anda dapat menggunakan alat pemantauan jaringan untuk memeriksa indikator banjir MAC di antara ancaman lainnya. Beberapa alat pemantauan juga dapat dikonfigurasi untuk secara otomatis merespons serangan banjir MAC dengan memblokir lalu lintas dari perangkat atau perangkat yang mengirimkan paket data palsu.

Apa perbedaan antara banjir MAC dan keracunan ARP?

Seperti banjir MAC, keracunan ARP melibatkan peretas di LAN yang sama dengan korbannya, membuat jaringan lebih aman.

Dalam serangan dunia maya ini, penyerang terhubung ke jaringan lokal yang sama dengan korbannya dan mengirimkan pesan ARP (Address Resolution Protocol) palsu melalui jaringan. Pesan ini mengaitkan alamat MAC penyerang dengan alamat IP perangkat korban, dan data palsu ini kemudian disimpan di cache ARP jaringan. Sekarang semua data selanjutnya yang dikirim ke korban dialihkan ke alamat MAC penyerang – cache telah diracuni.

Untuk memahami perbedaan antara kedua serangan ini, cukup bandingkan keracunan ARP dengan serangan banjir MAC, di mana peretas menargetkan tabel penerusan sakelar jaringan sebagai lawan dari cache ARP.

Praktik terbaik untuk mencegah banjir MAC

Untuk mencegah banjir MAC, Anda harus fokus pada dua bidang keamanan siber: pencegahan dan pemantauan.

• Pencegahan. Untuk mencegah serangan ini terjadi sejak awal, atur keamanan port pada sakelar jaringan Anda. Ini membatasi perangkat yang dapat menerima alamat MAC baru, yang disimpan di tabel alamat MAC sakelar. Anda juga harus memastikan bahwa Anda menggunakan kata sandi yang kuat untuk melindungi jaringan Anda, karena perangkat penyerang harus terhubung ke jaringan sebelum dapat meluncurkan serangan.
• Pemantauan. Anda harus secara konsisten memantau jaringan Anda untuk tanda-tanda serangan. Sementara indikator seperti kinerja yang buruk dan lonjakan lalu lintas jaringan dapat menjadi tanda bahaya, perangkat lunak pemantauan jaringan dapat mendeteksi indikator halus dari risiko yang mungkin terlewatkan oleh pendekatan manual. Anda juga harus memantau perangkat yang terhubung ke jaringan Anda dan menghapus semua yang seharusnya tidak ada atau berperilaku aneh.

Sebagai tindakan tambahan, administrator jaringan harus mempertimbangkan untuk menggunakan penguji penetrasi, juga dikenal sebagai peretas etis, untuk menguji pertahanan jaringan mereka. Pakar keamanan profesional ini mengungkap kerentanan sehingga kerentanan dapat ditambal sebelum penyerang menemukannya.

Apa yang harus dilakukan jika Anda adalah korban banjir MAC

Jika Anda merasa telah menggunakan jaringan yang telah disusupi oleh banjir MAC, ikuti langkah-langkah berikut untuk mencoba dan tetap aman:

1. Berhenti menggunakan jaringan yang disusupi. Peretas mungkin masih memiliki akses ke jaringan, jadi segera hentikan penggunaannya untuk mencegah paparan data lebih lanjut.
2. Ubah kata sandi Anda. Saat menggunakan jaringan yang disusupi, Anda mungkin telah mengungkapkan detail kata sandi yang sensitif. Sebagai tindakan pencegahan, ubah kata sandi semua akun yang telah Anda akses di jaringan.
3. Hubungi administrator jaringan. Hubungi administrator atau penyedia yang mengelola jaringan. Semakin cepat mereka mengetahui masalahnya, semakin cepat mereka dapat mengambil langkah-langkah untuk mengamankan jaringan, menghapus data yang rusak dari tabel alamat MAC, dan melindungi pengguna lain.