Merhabalar,

Bu konuda MAC Adresleri, Switchler ve Switchlerdeki MAC Tablosu üzerinde duracağız. Daha sonrada bu tabloya bir saldırı olduğunda switchin nasıl çalıştığını öğreneceğiz.
Tabi bunu LAB ortamında anlatılması daha yararlı olur fakat kendi imkanlarımızca öğreneceğiz.
İlgili konuyu kavramamız için öncelikle bilmemiz gerekenler;

•  MAC adresi nedir ?
•  Hub nedir ?
•  Switch nedir ?
•  Switching Nasıl Gerçekleşir ?
•  Switchlerdeki Content Addressable Memory Ne işe Yarar ?

Bu gibi soruların cevaplarını öğrenmemiz gerekiyor.

 

MAC Adresi Nedir ?

MAC adresi ağa bağlanabilen her bir cihazın Ağ arayüzüne üretici tarafından atanan eşsiz bir adrestir. Bu adres bilgisi ROM da tutulmaktadır. MAC adresleri Ethernet gibi birçok ağ teknolojisi tarafından kullanılmaktadır. MAC adresinin amacı LAN veya başka bir ağ üzerinde her bir cihaz için benzersiz bir adres bilgisine sahip olmasıdır. Bir cihaz ağa bağlandığında bu cihaza ip adresi atanır ve cihazın fiziksel adresi ile ona karşılık gelen ip adresi bir taloda tutulur. MAC adresleri fiziksel adres olarak da adlandırılmaktadır. Burada bahsedilen tablo ARP tablosudur. Biz bugün Switch’deki MAC Tablosunu konuşacağız.

 

Hub Nedir ?

HUB, en basit ağ cihazıdır. Kendisine bağlı olan sistemlere paylaşılan bir yol sunar. HUB’a bağlı tüm sistemler aynı yolu kullanırlar. İki bilgisayar arasında bir iletişim var ise diğer clientlar bu yolu kullanamazlar. Diğer clientlar yolun boşalmasını veya boş olmasını beklemek durumundadırlar. Eğer aynı anda bir çok iletişim yapılmak istenilirse çarpışmalar oluşur ve çarpışmanın şiddetine bağlı olarak iletişim kopuklukları yaşanabilir ve ağ performansı düşebilir. HUB’lar 8,12,16 ve 24 soket olarak üretilirler. Bu portlar birinin hızı yüksek iken (örn. 100Mbps) diğerleri genelde çok düşüktür (örn. 10Mbps) Yüksek hızlı portlar genelde server bağlantısında kullanılır. Hubların en kötü özelliği ise, kendisine hangi bilgisayar bağlı bilmez ve bir datayı göndereceği zaman tüm ağa gönderir, DATA’nın muhattabı datayı kontrol eder eğer kendisinin ise veriyi alır. HUB datayı tüm network’e göndermesi bir sniff durumunda datanın tüm clientlar tarafından okunabilmesi anlamı taşıyor. Buda oldukça tehlikeli bir durum. Yüksek trafikli network’lerde ise HUB’ın olması demek network’ün tamamen durması anlamı taşır çünkü ilk HUB tanıtımımızda bahsettiğimiz gibi HUB kendisine bağlı olan sistemlere paylaşılan bir yol sunar ve diğer cihazlar yolun boş olmasını veya boşalmasını beklerler. Trafik yoğun ise datalar çarpışırlar. Buda ağın durması ve performansın düşmesine neden olur. Neyse ki HUB kullanımı bitti diyebiliriz 🙂 Artık yaygın olarak switchler kullanılıyor ağ cihazı olarak.

 

Switch Nedir ?

Switch cihazı, kendisine bağlı sistemlere anahtarlamalı iletim ortamı sunar. Aynı anda bir den çok aktarım yapabilme olanağı vardır. İki bilgisayar iletişimde bulunurken diğerleri de kendi aralarında haberleşebilirler.
HUB cihazından farkı, kendisine bağlı sistemlere paylaşılan değil de özel bir yol sunarç Böylece yüksek başarım elde edilir. Switch cihazları genel olarak 8,12,16,24,36,48 soket içerecek şekilde üretilirler. Şaseli olarakta bulabilirsiniz ayriyetten. Şaseli olanlarda boş soketler vardır ve gereksinime göre arttırılabilirler.
Peki bir ağda switching nasıl gerçekleşir ?

 

Switching Nedir ?

Switch kendisine gelen bir data’nın ilk önce mac adresine bakar. (Data içerisindeki framelerde bu bilgi mevcuttur. (Bknz. Data Frame) Daha sonra öğrendiği MAC adresini sorgulamak için kendinde tuttuğu Content Adressable Memory (CAM) isimli tabloya bakar. Bu işlem gerçekleşmeden önce bir Broadcast işlemi gerçekleşir. ARP Paketleri ile MAC adreslerini alır. Daha sonra karşılaştırma yaparak hedef tablosunda tuttuğu hedef MAC’e datayı gönderir. Biz bu işleme switching adını veriyoruz.

 

Content Addressable Memory Nedir ?

Yukarıda anlattığım üzere Addressable Memory (CAM) Switchlerde yer alan bir tablodur ve Portlara karşılık mac adresleri bu mac adreslerinin tipi gibi çeşitli bilgileri tutar. CAM Tablosu sonsuz bilgi tutmaz bunun bir sınırı vardır. Biz bu CAM Tablosuna bir Sahte MAC’ler ile FlooD gerçekleştirir isek acaba ne olur ?

 

CAM Attack with MAC Flood

CAM Tablosuna portların birinden sürekli ve hızlı şekilde bazı istekler gelir sürekli sahte MAClerle gelen bu istekleri CAM Tablosu mevcut tablosuna yazmaya başlar bu esnada halen yoğun bir şekilde sahte macler gelmeye devam eder… Switch’lerde Default Mod’da Port Security özelliği Kapalı olduğundan dolayı Switch gelen istekleri hala normal bir istek olarak görüp CAM Tablosuna kayıt tutar, bunun bir sınırı vardır…
Sonuç olarak artık CAM Tablosu dolmuştur. Artık bundan sonra switch bir switching işlemi yapamayacaktır çünkü switching işlemi yapabilmesi için gelen frame içerisinde MAC adresini almalı tabloya bakmalı bulamadığı takdirde broadcast ile hedef mac’i öğrenmeli ve tabloya yazmalı. İşlem tam bu noktada yani öğrendiği MAC’i tabloya yazamayacak ve dolayısıyla switch cevap veremeyecektir.
Fakat, Switch bu noktada trafiği kesmek yerine tüm adreslere datayı gönderir yani âdeta bir HUB gibi davranır. HUB gibi davranması switchin soketine bağlı herhangi bir client’ın trafiği sniff ederek görmesi veya trafiği arttırarak networkü durdurması anlamına gelmektedir. CAM Tablosunda daha önceden olan MAC adresi ağ’dan düşmediği sürece CAM Tablosundan çıkmaz dolayısıyla switch HUB gibi davransada CAM Tablosunda olan MAC adresleri için aynı şey mümkün değildir. Genelde saldırgan CAM Tablosunun boşalmasını bekler yaklaşık 300 sn. süreçtir fakat teoride böyle olsada pratikte durum böyle olmadığından genelde saldırgan ilgili MAC’in bulunduğu clienta DoS saldırısıyla ağdan düşürür.

Bu saldırılara ISP’ler ve Büyük ölçekli network yönetenler dikkat etmeli ve switch’deki port security özelliğini aktif etmelidirler. Bahsettiğim üzere çoğunlukla defaultta Kapalı durumda gelir.
Bu demek oluyor ki ; Network Admin’in görevi Port Security ayarlarını gözden geçirmelidir.

İyi çalışmalar,
Saygılarımla.