MAC Flooding-Angriffe: Technischer Einblick und Präventionsstrategien

MAC Flooding ist ein Layer-2-Netzwerkangriff, der die CAM-Tabelle (Content Addressable Memory) eines Ethernet-Switches absichtlich erschöpft, indem Tausende von Frames mit gefälschten, zufälligen Quell-MAC-Adressen eingeschleust werden. Sobald die CAM-Tabelle ihre Kapazität erreicht, degradiert der Switch zu einem Hub-ähnlichen Verhalten – er sendet alle eingehenden Frames an jeden Port – wodurch die gesamte Broadcast-Domäne passivem Abfangen und aktiver Manipulation ausgesetzt wird.

Dieser Angriff ist nicht theoretisch. Er ist trivial ausführbar mit Tools wie `macof` (Teil der `dsniff`-Suite) und kann eine typische CAM-Tabelle mit 8.000 Einträgen in unter 70 Sekunden auf einem Gigabit-Link sättigen. Das Verständnis der Mechanismen, der Ausfallmodi und der mehrschichtigen Gegenmaßnahmen ist für jeden Netzwerkingenieur, der für die Integrität der Infrastruktur verantwortlich ist, unerlässlich.

Wie die CAM-Tabelle funktioniert und warum sie versagt

Jeder verwaltete Ethernet-Switch führt eine CAM-Tabelle, die MAC-Adressen bestimmten physischen Ports zuordnet. Wenn ein Frame ankommt, führt der Switch eine Suche durch: Wenn die Ziel-MAC in der Tabelle vorhanden ist, wird der Frame nur an den entsprechenden Port weitergeleitet (Unicast-Weiterleitung). Wenn die MAC unbekannt ist, flutet der Switch den Frame an alle Ports im selben VLAN – dies ist normales, erwartetes Verhalten für unbekannten Unicast-Verkehr.

Die CAM-Tabelle hat eine begrenzte Größe, die typischerweise von 8.000 Einträgen bei Access-Layer-Switches bis zu 128.000+ Einträgen bei Enterprise-Core-Switches reicht. Einträge laufen nach einem Inaktivitäts-Timeout ab (Standard: 300 Sekunden auf den meisten Cisco IOS-Plattformen). Ein Angreifer nutzt dies aus, indem er Frames schneller einschleust, als Einträge ablaufen, und die Tabelle dauerhaft mit Garbage-Einträgen gefüllt hält.

Der Fail-Open-Ausfallmodus

Wenn die CAM-Tabelle voll ist, kann der Switch keine neuen legitimen MAC-zu-Port-Zuordnungen speichern. Jeder Frame mit einer Ziel-MAC, die noch nicht in der Tabelle vorhanden ist, wird an alle Ports im VLAN geflutet. Dies wird als Fail-Open-Verhalten bezeichnet – der Switch priorisiert Konnektivität gegenüber Sicherheit, was das Gegenteil von dem ist, was ein sicherheitsbewusstes Design erfordert.

Die Konsequenzen sind unmittelbar und schwerwiegend:

• Passives Sniffing: Jeder Host im Segment kann Datenverkehr, der für andere Hosts bestimmt ist, mit einer NIC im Promiscuous-Modus und einem Paketanalysator wie Wireshark oder tcpdump erfassen.
• Man-in-the-Middle-Angriffe (MITM): Mit vollständiger Verkehrssichtbarkeit kann ein Angreifer MAC Flooding mit ARP-Poisoning kombinieren, um Datenverkehr zwischen zwei kommunizierenden Hosts abzufangen, zu modifizieren und weiterzuleiten, ohne dass eine der Parteien die Abfangung bemerkt.
• Credential Harvesting: Unverschlüsselte Protokolle (Telnet, FTP, HTTP Basic Auth, SMTP ohne STARTTLS) legen Anmeldedaten direkt offen. Selbst mit TLS lecken Metadaten und Sitzungsmuster wertvolle Aufklärungsdaten.
• Netzwerkleistungsdegradierung: Das schiere Volumen der gefluteteten Frames verbraucht Port-Bandbreite und CPU-Zyklen auf allen verbundenen Hosts, was effektiv einen Denial-of-Service-Zustand darstellt.

Angriffsdurchführung: Wie es tatsächlich aussieht

Ein realistischer Angriff mit `macof` auf einem Linux-Host:

“`bash

macof floods the network with random source MACs

-i specifies the interface, -n specifies the number of packets

macof -i eth0 -n 100000

“`

Jedes Paket hat eine zufällig generierte Quell-MAC und Ziel-MAC, was den Switch zwingt, für jeden Frame einen neuen CAM-Eintrag zu versuchen. Auf einem 100-Mbps-Link kann `macof` ungefähr 155.000 Pakete pro Sekunde generieren – weit über der CAM-Tabellen-Auffüllrate.

MAC Flooding vs. ARP Spoofing vs. ARP Poisoning

Diese drei Angriffe werden häufig verwechselt, operieren jedoch auf verschiedenen Schichten und durch unterschiedliche Mechanismen. Das Verständnis des Unterschieds ist entscheidend für die Auswahl der richtigen Gegenmaßnahme.

Präventionsstrategie 1: Port Security auf verwalteten Switches

Port Security ist die direkteste und effektivste erste Verteidigungslinie gegen MAC Flooding. Sie operiert auf Port-Ebene und erzwingt ein hartes Limit für die Anzahl der MAC-Adressen, die auf einer bestimmten Schnittstelle erlernt werden können.

Kernkonfigurationsparameter

Maximale MAC-Adressen: Setzen Sie dies auf die Mindestanzahl, die für den legitimen Betrieb erforderlich ist. Ein Port, der mit einer einzelnen Workstation verbunden ist, sollte genau eine MAC-Adresse erlauben. Ein Port, der mit einem IP-Telefon mit nachgeschaltetem PC verbunden ist (eine übliche Daisy-Chain-Topologie), sollte zwei erlauben.

Verletzungsmodi bestimmen, was passiert, wenn das Limit überschritten wird:

• `protect` — Verwirft Frames von unbekannten MACs stillschweigend. Kein Logging, kein Port-Shutdown. Nützlich für Umgebungen, in denen False Positives ein Problem darstellen, bietet aber keine Sichtbarkeit.
• `restrict` — Verwirft Frames von unbekannten MACs und erhöht einen Verletzungszähler, wobei eine Syslog-Meldung generiert wird. Der Port bleibt betriebsbereit.
• `shutdown` — Versetzt den Port sofort in den Err-Disabled-Zustand und generiert einen Syslog-Alarm. Dies ist die sicherste Option, erfordert aber administrative Eingriffe (oder automatische Wiederherstellung), um den Port wiederherzustellen.

Sticky MAC Addressing (`mac-address sticky`) weist den Switch an, MAC-Adressen dynamisch zu erlernen und sie direkt als statische Einträge in die laufende Konfiguration zu schreiben. Dies eliminiert die Notwendigkeit, MAC-Adresstabellen manuell vorzubefüllen, während bestimmte Geräte weiterhin an bestimmte Ports gebunden werden.

Vollständiges Cisco IOS-Konfigurationsbeispiel

“`

interface GigabitEthernet0/1

switchport mode access

switchport access vlan 10

switchport port-security

switchport port-security maximum 2

switchport port-security violation shutdown

switchport port-security mac-address sticky

spanning-tree portfast

“`

So überprüfen Sie den Port-Security-Status:

“`

show port-security interface GigabitEthernet0/1

show port-security address

“`

So stellen Sie einen Err-Disabled-Port nach einer Verletzung wieder her:

“`

interface GigabitEthernet0/1

shutdown

no shutdown

“`

Für die automatische Wiederherstellung konfigurieren Sie `errdisable recovery cause psecure-violation` mit einem geeigneten Intervall.

Kritische Fallstricke: Trunk-Ports und Uplinks

Wenden Sie niemals Port Security auf Trunk-Ports oder Switch-Uplinks an. Diese Ports tragen legitim Datenverkehr von Hunderten von MAC-Adressen über mehrere VLANs. Das Anwenden eines MAC-Limits auf einen Trunk-Port verursacht katastrophale Konnektivitätsausfälle. Port Security ist ausschließlich eine Access-Port-Funktion.

Präventionsstrategie 2: VLAN-Segmentierung und Private VLANs

VLAN-Segmentierung begrenzt den Explosionsradius eines MAC-Flooding-Angriffs, indem die Broadcast-Domäne eingeschränkt wird. Wenn ein Angreifer eine CAM-Tabelle flutet, wechselt nur das VLAN, das den Port des Angreifers enthält, in den Fail-Open-Modus – andere VLANs funktionieren weiterhin normal.

Standard-VLAN-Segmentierung

Segmentieren Sie Ihr Netzwerk nach Funktion und Sensitivitätsstufe:

• Management-VLAN: Netzwerkgeräte, Out-of-Band-Management-Schnittstellen, IPMI/iDRAC/iLO-Zugang
• Server-VLAN: Produktionsserver, Datenbanken, Anwendungsebenen
• Benutzer-VLAN: Workstations, Drucker, Allzweck-Endpunkte
• DMZ-VLAN: Internetdienste, Reverse-Proxies, Mail-Gateways
• Voice-VLAN: VoIP-Telefone (reduziert auch die QoS-Komplexität)

Private VLANs (PVLANs)

Private VLANs erweitern die Isolation innerhalb eines einzelnen VLANs durch die Definition von Port-Rollen:

• Promiscuous Ports: Können mit allen Ports im PVLAN kommunizieren (typischerweise der Uplink oder Gateway)
• Isolated Ports: Können nur mit Promiscuous Ports kommunizieren – nicht mit anderen Isolated Ports
• Community Ports: Können mit anderen Ports in derselben Community und mit Promiscuous Ports kommunizieren

PVLANs sind besonders wertvoll in Hosting-Umgebungen, in denen mehrere Mandanten dieselbe physische Infrastruktur teilen. Selbst wenn der Port eines Mandanten kompromittiert wird, verhindert das Isolated-Port-Verhalten die laterale Datenverkehrserfassung. Wenn Sie Workloads auf einer VPS-Hosting-Plattform betreiben, ist das Verständnis, wie das zugrunde liegende Switching-Fabric die VLAN-Isolation implementiert, direkt relevant für Ihr Bedrohungsmodell.

Präventionsstrategie 3: DHCP Snooping

DHCP Snooping erstellt eine Binding-Tabelle, die MAC-Adressen IP-Adressen, VLANs und Switch-Ports zuordnet. Diese Binding-Tabelle ist nicht nur für DHCP-spezifische Angriffe nützlich – sie dient als maßgebliche Wahrheitsquelle für Dynamic ARP Inspection und IP Source Guard.

Konfigurationslogik

Ports werden als vertrauenswürdig (verbunden mit legitimen DHCP-Servern oder Uplinks) oder nicht vertrauenswürdig (verbunden mit Clients) klassifiziert. DHCP-Antworten, die auf nicht vertrauenswürdigen Ports ankommen, werden verworfen.

“`

ip dhcp snooping

ip dhcp snooping vlan 10,20,30

interface GigabitEthernet0/1

ip dhcp snooping limit rate 15

! Untrusted by default — no additional command needed

interface GigabitEthernet0/24

ip dhcp snooping trust

! Uplink or DHCP server port

“`

Der Befehl `ip dhcp snooping limit rate 15` begrenzt DHCP-Pakete auf 15 pro Sekunde auf nicht vertrauenswürdigen Ports und verhindert DHCP-Starvation-Angriffe, die MAC-Flooding-Kampagnen begleiten können.

Die DHCP-Snooping-Binding-Tabelle

“`

show ip dhcp snooping binding

“`

Diese Tabellenausgabe zeigt MAC-Adresse, IP-Adresse, Lease-Zeit, VLAN und Schnittstelle – genau die Daten, die DAI zur Validierung verwendet.

Präventionsstrategie 4: Dynamic ARP Inspection (DAI)

DAI validiert ARP-Pakete anhand der DHCP-Snooping-Binding-Tabelle. Jedes ARP-Paket, das eine MAC-zu-IP-Zuordnung beansprucht, die nicht mit der Binding-Tabelle übereinstimmt, wird verworfen. Dies wirkt direkt dem ARP-Poisoning entgegen, das Angreifer typischerweise auf MAC Flooding aufsetzen.

“`

ip arp inspection vlan 10,20,30

interface GigabitEthernet0/24

ip arp inspection trust

! Uplink — trusted for ARP

interface GigabitEthernet0/1

ip arp inspection limit rate 100

! Limit ARP rate on access ports

“`

DAI protokolliert auch verworfene Pakete und liefert forensische Beweise für Angriffsversuche:

“`

show ip arp inspection statistics vlan 10

“`

IP Source Guard: Die letzte Schicht

IP Source Guard erweitert die DHCP-Snooping-Binding-Tabelle, um IP-Pakete zu filtern. Nur Pakete mit einer Quell-IP, die dem Binding-Tabelleneintrag für diesen Port entspricht, werden weitergeleitet. Dies verhindert IP-Spoofing auch nach einem erfolgreichen MAC-Flooding-Ereignis.

“`

interface GigabitEthernet0/1

ip verify source

“`

Die Kombination aus Port Security + DHCP Snooping + DAI + IP Source Guard schafft einen Defense-in-Depth-Stack, der MAC Flooding, ARP Spoofing, DHCP Starvation und IP Spoofing gleichzeitig adressiert.

Präventionsstrategie 5: 802.1X Network Access Control

IEEE 802.1X bietet portbasierte Netzwerkzugangskontrolle, indem eine Authentifizierung erforderlich ist, bevor ein Port Datenverkehr weiterleiten darf. Ein nicht authentifiziertes Gerät – einschließlich der Maschine eines Angreifers, der MAC-Flooding-Pakete einschleust – wird in einen nicht autorisierten Zustand versetzt und kann nicht mit dem Netzwerk kommunizieren.

Die 802.1X-Architektur umfasst drei Komponenten:

• Supplicant: Das Client-Gerät (Workstation, Server)
• Authenticator: Der Switch-Port
• Authentifizierungsserver: Ein RADIUS-Server (FreeRADIUS, Cisco ISE, Microsoft NPS)

Bis der Supplicant sich erfolgreich über EAP (Extensible Authentication Protocol) authentifiziert, leitet der Port nur EAPOL-Frames (EAP over LAN) weiter. MAC Flooding von einem nicht authentifizierten Port ist unmöglich, da der Port keinen Datenebenenzugang hat.

“`

aaa new-model

aaa authentication dot1x default group radius

dot1x system-auth-control

interface GigabitEthernet0/1

authentication port-control auto

dot1x pae authenticator

“`

802.1X ist die stärkste präventive Kontrolle für die Access-Layer-Sicherheit, erfordert jedoch eine RADIUS-Infrastruktur und Supplicant-Konfiguration auf allen Endpunkten – eine erhebliche betriebliche Investition.

Präventionsstrategie 6: Netzwerküberwachung und Anomalieerkennung

Keine präventive Kontrolle ist unfehlbar. Kontinuierliche Überwachung bietet die Erkennungsfähigkeit, die benötigt wird, um Angriffe zu identifizieren, die präventive Maßnahmen umgehen oder ihnen vorausgehen.

Indikatoren für MAC Flooding

• Schneller Anstieg der Anzahl der auf einem einzelnen Port erlernten MAC-Adressen
• CAM-Tabellenauslastung nähert sich 80-90% der Kapazität
• Spitze im Broadcast-Datenverkehrsvolumen über ein VLAN
• Zunahme von Unknown-Unicast-Flooding-Ereignissen
• CPU-Auslastungsspitzen auf Switches (aufgrund der Flooding-Verarbeitung)

Überwachungstools und -techniken

SNMP-Polling: Abfragen von `dot1dTpFdbTable` (RFC 1493) oder `dot1qFdbTable` (RFC 2674), um die CAM-Tabellengröße im Zeitverlauf zu verfolgen. Alarm auslösen, wenn Einträge einen definierten Schwellenwert überschreiten.

NetFlow/sFlow-Analyse: Flow-Daten enthüllen anomale Datenverkehrsmuster – eine einzelne Quelle, die Tausende von eindeutigen Quell-MAC-Adressen generiert, ist ein klarer Indikator.

Intrusion Detection Systems: Snort und Suricata haben Regeln zur Erkennung von MAC-Flooding-Mustern. Zeek (früher Bro) kann so konfiguriert werden, dass es bei schnellem MAC-Adress-Wechsel alarmiert.

Wireshark/tshark für Forensik: Bei der Untersuchung eines vermuteten Angriffs auf einem Mirror/SPAN-Port erfassen und nach eindeutigen Quell-MACs filtern:

“`bash

tshark -i eth0 -T fields -e eth.src | sort | uniq -c | sort -rn | head -20

“`

Ein legitimer Host generiert eine Handvoll eindeutiger Quell-MACs (typischerweise eine). Ein Angreifer, der `macof` ausführt, generiert Tausende pro Sekunde.

SPAN/RSPAN für Datenverkehrsanalyse

Konfigurieren Sie eine SPAN-Sitzung (Switched Port Analyzer), um Datenverkehr auf einen Überwachungshost zu spiegeln:

“`

monitor session 1 source vlan 10

monitor session 1 destination interface GigabitEthernet0/48

“`

Dies ermöglicht einem dedizierten IDS/IPS oder einer Paketerfassungsappliance, den gesamten VLAN-10-Datenverkehr zu analysieren, ohne die Produktionsweiterleitung zu unterbrechen.

Hardware-Überlegungen: CAM-Tabellengröße und Switch-Auswahl

Das Upgrade auf Switches mit größeren CAM-Tabellen erhöht die Hürde für Angreifer, ist aber kein Ersatz für die oben beschriebenen Kontrollen. Ein entschlossener Angreifer mit ausreichender Bandbreite kann jede endliche Tabelle fluten.

Für Produktions-Workloads – insbesondere solche, die auf Dedizierten Servern betrieben werden, die mit Enterprise-Switching-Infrastruktur verbunden sind – beeinflusst die Switch-Klasse direkt Ihr Expositionsfenster während eines aktiven Angriffs.

Absicherung von gehosteten und Cloud-Umgebungen

MAC Flooding ist ein lokaler Segment-Angriff. In einer gemeinsamen Hosting- oder Colocation-Umgebung verschiebt sich das Bedrohungsmodell: Ein kompromittierter oder böswilliger Mandant auf demselben physischen Switch-Fabric kann andere Mandanten angreifen.

Für Umgebungen, in denen Sie den Hypervisor oder virtuellen Switch (Open vSwitch, VMware vSwitch) kontrollieren, existieren gleichwertige Kontrollen:

Open vSwitch Port Security:

“`bash

ovs-vsctl set port <port-name> other_config:rstp-enable=true

ovs-vsctl set Interface <port-name> type=internal

Limit MAC learning via OpenFlow rules

“`

VMware vSwitch: Aktivieren Sie „MAC Address Changes: Reject” und „Forged Transmits: Reject” in der vSwitch-Sicherheitsrichtlinie. Dies verhindert, dass eine VM Frames mit anderen Quell-MACs als ihrer zugewiesenen MAC einschleust.

Wenn Sie Webanwendungen oder Dienste auf einem VPS mit cPanel verwalten oder VPS-Kontrollpanels für die Serververwaltung verwenden, überprüfen Sie bei Ihrem Anbieter, ob der zugrunde liegende Hypervisor MAC-Anti-Spoofing auf der virtuellen Switch-Ebene erzwingt – dies ist das virtualisierte Äquivalent von Port Security.

Für Organisationen, die SSL-terminierte Dienste betreiben, bietet die ordnungsgemäße Konfiguration Ihrer SSL-Zertifikate eine zusätzliche Schutzschicht: Selbst wenn ein Angreifer durch MAC Flooding eine Datenverkehrsabfangung erreicht, verhindert ordnungsgemäß implementiertes TLS mit Certificate Pinning das Credential Harvesting aus verschlüsselten Sitzungen.

Entscheidungsmatrix: Auswahl der richtigen Kontrollen

Verwenden Sie diese Matrix, um Kontrollen basierend auf Ihrem Umgebungstyp zu priorisieren:

Technische Schlüssel-Checkliste

Bevor Sie Ihre Layer-2-Umgebung als gegen MAC Flooding gehärtet betrachten, überprüfen Sie jeden der folgenden Punkte:

• Port Security ist auf allen Access-Ports mit einem MAC-Limit konfiguriert, das dem angeschlossenen Gerätetyp entspricht (1 für Workstations, 2 für IP-Telefon + PC-Ketten)
• Der Verletzungsmodus ist auf `shutdown` für hochsichere Ports und `restrict` mit Logging für allgemeine Access-Ports eingestellt
• Sticky MAC Learning ist aktiviert und die laufende Konfiguration wird im NVRAM gespeichert
• DHCP Snooping ist auf allen Produktions-VLANs mit korrekten vertrauenswürdigen/nicht vertrauenswürdigen Port-Bezeichnungen und Rate-Limiting auf nicht vertrauenswürdigen Ports aktiviert
• Dynamic ARP Inspection ist auf allen Produktions-VLANs aktiviert und gegen die DHCP-Snooping-Binding-Tabelle validiert
• IP Source Guard ist auf nicht vertrauenswürdigen Access-Ports in hochsicheren Segmenten eingesetzt
• VLANs sind nach Funktion segmentiert ohne unnötiges Inter-VLAN-Routing
• Private VLANs sind in Multi-Mandanten- oder Hosting-Umgebungen implementiert
• 802.1X ist für alle Access-Layer-Ports eingesetzt oder geplant
• SNMP-Überwachung ist so konfiguriert, dass sie bei CAM-Tabellenauslastungsschwellenwerten alarmiert
• NetFlow oder sFlow ist aktiviert und speist ein Anomalieerkennungssystem
• SPAN-Sitzungen sind für IDS/IPS-Sichtbarkeit auf kritischen VLANs konfiguriert
• Virtuelle Switch-Sicherheitsrichtlinien (Anti-MAC-Spoofing, Forged-Transmit-Ablehnung) werden auf Hypervisor-Ebene erzwungen
• TLS wird für den gesamten sensiblen Anwendungsdatenverkehr erzwungen, sodass selbst eine erfolgreiche Abfangung keine Klartextanmeldedaten liefert

Häufig gestellte Fragen

Kann MAC Flooding drahtlose Netzwerke beeinflussen?

Standard-WLAN-Infrastruktur verwendet ein anderes Assoziationsmodell – Access Points verwalten Client-Assoziationen über das 802.11-Protokoll, nicht über eine CAM-Tabelle im Ethernet-Sinne. Der Wireless-Controller oder der vorgelagerte kabelgebundene Switch, der den AP bedient, kann jedoch weiterhin angegriffen werden. Darüber hinaus erreichen Rogue-AP-Angriffe auf drahtlose Netzwerke ähnliche Abfangziele durch andere Mechanismen.

Funktioniert MAC Flooding gegen moderne Enterprise-Switches mit großen CAM-Tabellen?

Ja, aber der Angriff erfordert mehr Bandbreite und Zeit. Ein Switch mit einer CAM-Tabelle mit 128.000 Einträgen erfordert proportional mehr gefälschte Frames, um erschöpft zu werden. Allerdings kann `macof` auf einem 10-Gbps-Link Millionen von Frames pro Sekunde generieren, was selbst große Tabellen innerhalb von Sekunden anfällig macht. Deshalb sind hardwarebasierte Gegenmaßnahmen wie Port Security unerlässlich – sie verhindern, dass die Tabelle überhaupt gefüllt wird.

Was ist der Unterschied zwischen MAC Flooding und MAC Spoofing?

MAC Flooding erschöpft die CAM-Tabelle durch Volumen – das Ziel ist es, Hub-ähnliches Flooding zu erzwingen. MAC Spoofing beinhaltet die Imitation einer bestimmten, legitimen MAC-Adresse, um eine Sitzung zu übernehmen oder MAC-basierte Zugriffskontrollen zu umgehen. Es sind unterschiedliche Angriffe, obwohl ein Angreifer MAC Spoofing nach einem erfolgreichen MAC-Flooding-Ereignis verwenden kann, um eine persistente MITM-Position aufrechtzuerhalten.

Unterbricht die Aktivierung von Port Security legitime Netzwerkoperationen wie DHCP?

Nein, wenn es korrekt konfiguriert ist. DHCP-Datenverkehr stammt von der MAC-Adresse des Clients, die die eine erlaubte MAC-Adresse auf dem Port ist. Die Antwort des DHCP-Servers ist an die MAC des Clients adressiert und kommt auf dem Uplink (einem vertrauenswürdigen Port) an. Port Security auf Access-Ports stört DHCP nicht, es sei denn, das Limit ist auf null gesetzt oder der Verletzungsmodus verwirft fälschlicherweise legitimen Datenverkehr.

Wie erkenne ich einen MAC-Flooding-Angriff, der bereits begonnen hat?

Überprüfen Sie sofort die CAM-Tabellenauslastung: `show mac address-table count`. Wenn die Auslastung nahe 100% liegt, vergleichen Sie mit `show mac address-table dynamic`, um Ports mit einer ungewöhnlich hohen Anzahl erlernter MAC-Adressen zu identifizieren. Überprüfen Sie gleichzeitig die Schnittstellenfehler-Zähler mit `show interfaces` auf Eingaberate-Spitzen. Der betroffene Port zeigt eine dramatisch erhöhte Eingabepaketrate und eine ungewöhnlich hohe Anzahl erlernter MAC-Adressen.