Innen IT-sikkerhet betegner MAC-flooding (også kalt Switch Flooding og feil ARP-flooding , bokstavelig talt oversvømmende svitsjen ) en cyberangrepsteknikk i et svitsjet lokalnettverk (LAN) som består i å sende spesialkonstruerte svitsjpakker CAM-tabellen til svitsjen, som normalt knytter en MAC-adresse til porten som den relative terminalen er koblet til, med fiktive MAC-adresser. CAM-tabellen ( Innholdsadresserbar minnetabell ) er en effektiv datastruktur, konseptuelt lik en hashtabell , som lar deg raskt knytte en adresse med fast størrelse (i tilfelle av en svitsj, en MAC-adresse) til porten som terminalen er koblet til .
Dette angrepet tvinger bryteren, når CAM-tabellen er mettet, til å gå inn i en tilstand som kalles fail open som gjør at den oppfører seg som en hub , og sender dermed de samme dataene til alle enhetene som er koblet til den, inkludert den til enhver angriper som den kan derfor snuse all trafikk i transitt i nettverket. Det er imidlertid ikke alle brytere som velger denne konfigurasjonen når de utsettes for denne typen angrep. Noen går faktisk inn i en blokkeringstilstand, og forhindrer passasje av trafikk.
Et nettverksgrensesnitt i promiskuøs modus, dvs. satt til også å lese trafikken som den skal ignorere fordi den ikke er rettet mot den, blir dermed i stand til å avskjære all kommunikasjon som krysser svitsjen, og har tilgang til trafikk som ikke en gang skal passere. sitt nettverkssegment. Det er derfor en ganske enkel type angrep.
Å forårsake en feil åpen tilstand i en bryter er vanligvis en angripers første skritt for andre formål, vanligvis snusing eller en mann i midten . Verktøy som forårsaker MAC-flom er macof fra dsniff- suiten , taranis og Ettercap .
Et effektivt mottiltak mot MAC-flom er bruken av "portsikkerhet"-funksjonen på Cisco -svitsjer , "pakkefiltrering" på 3Com -svitsjer eller tilsvarende tjenester på svitsjer fra andre produsenter.