MAC 플러딩(MAC Flooding)에 대해 알아보겠습니다.

Ⅰ. MAC 플러딩(MAC Flooding) 이란?

 네트워크 스위치의 구조적 취약점을 이용한 공격으로, 주로 트래픽 스니핑을 통해 민감한 정보를 탈취하는 데 목적을 가지고, 네트워크 스위치의 MAC 주소 테이블을 오버플로우시켜 보안 취약점을 악용하는 공격입니다. 이 공격은 주로 스위치 네트워크를 대상으로 하며, 네트워크 트래픽을 스니핑하거나 정보 유출을 시도하는 데 사용됩니다. 방어하기 위해서는 포트 보안, VLAN 세그멘테이션, 네트워크 모니터링 등의 보안 조치를 취해야 하며, 네트워크 인프라 전반에 대한 보안 정책을 강화해야 합니다.

 

Ⅱ. MAC 플러딩(MAC Flooding) 특징

 ⅰ. 스위치 기반 네트워크에서 발생하는 공격으로, 스위치의 MAC 주소 테이블의 용량 한계를 노립니다.
 ⅱ. 스위치는 네트워크 트래픽을 올바르게 라우팅하기 위해 각 장치의 MAC 주소를 기억하고, 이를 테이블에 저장합니다.
 ⅲ. 스위치의 MAC 주소 테이블이 가득 차면 스위치는 더 이상 특정 포트로 트래픽을 전달할 수 없고, 네트워크 상의 모든 포트로 트래픽을 브로드캐스트하게 됩니다.

Ⅲ. MAC 플러딩(MAC Flooding) 공격 방식

 ⅰ. 공격자는 가짜 MAC 주소를 대량으로 생성한 후, 네트워크에 지속적으로 트래픽을 전송하여 스위치의 MAC 주소 테이블을 가득 채웁니다.
 ⅱ. 스위치의 MAC 주소 테이블이 오버플로우되면, 더 이상 특정 MAC 주소에 맞춰 트래픽을 라우팅할 수 없게 되어, 스위치는 해당 트래픽을 네트워크의 모든 포트로 브로드캐스트하게 됩니다.
 ⅲ. 이 상황에서 공격자는 브로드캐스트된 트래픽을 스니핑하여 민감한 정보를 가로챌 수 있습니다.

Ⅳ. MAC 플러딩(MAC Flooding) 공격 과정

ⅰ. 공격자는 네트워크에 연결된 스위치로 대량의 트래픽을 보내며, 각 트래픽마다 다른 MAC 주소를 사용합니다.
ⅱ. 스위치는 MAC 주소 테이블에 이 트래픽을 기록하려 시도하지만, 결국 테이블이 가득 차게 됩니다.
ⅲ. MAC 테이블이 가득 차면, 스위치는 브로드캐스트 모드로 동작하여 모든 네트워크 트래픽을 모든 포트로 전송하게 됩니다.
ⅳ. 공격자는 이 과정에서 스위치에 연결된 다른 장치들로 가는 트래픽을 스니핑할 수 있습니다.

Ⅴ. MAC 플러딩(MAC Flooding) 피해

ⅰ. 네트워크 성능 저하

  스위치가 트래픽을 특정 포트로만 전달하지 않고, 모든 포트로 전송하게 되면 네트워크 성능이 크게 저하됩니다.
ⅱ. 트래픽 스니핑

  공격자는 스위치가 브로드캐스트하는 모든 트래픽을 가로챌 수 있습니다. 이를 통해 패스워드, 계정 정보, 중요한 네트워크 통신 등 민감한 데이터를 훔칠 수 있습니다.
ⅲ. DoS (Denial of Service) 효과

  MAC 테이블 오버플로우로 인해 정상적인 네트워크 라우팅이 방해되어, 서비스 거부 상태가 발생할 수 있습니다.

Ⅴ. MAC 플러딩(MAC Flooding) 대응 방법

1) 포트 보안 (Port Security)
스위치의 포트 보안 기능을 활성화하면, 각 포트에 허용된 MAC 주소의 수를 제한할 수 있습니다. 공격자가 많은 MAC 주소를 등록하려 하면, 허용된 수를 초과하는 경우 포트가 자동으로 비활성화되거나, 알림이 생성됩니다.
ex) Cisco 스위치의 경우, 포트당 학습할 수 있는 MAC 주소의 수를 제한하고, 초과 시 포트를 차단하도록 설정할 수 있습니다.
2) MAC 주소 테이블의 크기 확장
일부 네트워크 장비는 MAC 테이블의 크기를 확장할 수 있습니다. 더 많은 MAC 주소를 저장할 수 있다면, 테이블 오버플로우 가능성을 줄일 수 있습니다.
3) VLAN 세그멘테이션
네트워크를 여러 개의 VLAN으로 분할하여, 공격이 특정 VLAN에만 영향을 미치도록 제한할 수 있습니다. 이를 통해 스니핑 가능성을 줄이고, 네트워크 전반에 걸친 영향을 최소화할 수 있습니다.
4) 동적 ARP 검사 (Dynamic ARP Inspection, DAI)
ARP 스푸핑 공격과 결합된 MAC 플러딩을 막기 위해 ARP 검사 기능을 활성화할 수 있습니다. 이는 허용된 ARP 요청만 통과시키고, 비정상적인 ARP 요청을 차단합니다.
5) 네트워크 모니터링 및 로그 분석
ⅰ. 네트워크 트래픽 및 스위치의 MAC 주소 테이블을 모니터링하고, 비정상적인 MAC 주소 트래픽이 증가할 경우 이를 탐지하는 시스템을 운영하는 것이 중요합니다.
ⅱ. SNMP (Simple Network Management Protocol) 기반 모니터링 도구를 사용해 스위치 상태를 실시간으로 모니터링할 수 있습니다.