Serangan MAC Flooding: Pendalaman Teknis dan Strategi Pencegahan

MAC flooding adalah serangan jaringan Layer 2 yang secara sengaja menghabiskan tabel CAM (Content Addressable Memory) dari switch Ethernet dengan menyuntikkan ribuan frame dengan alamat MAC sumber yang dipalsukan dan diacak. Setelah tabel CAM mencapai kapasitas penuh, switch terdegradasi menjadi perilaku seperti hub — menyiarkan semua frame yang masuk ke setiap port — yang mengekspos seluruh broadcast domain terhadap intersepsi pasif dan manipulasi aktif.

Serangan ini bukan sekadar teori. Serangan ini dapat dieksekusi dengan mudah menggunakan alat seperti `macof` (bagian dari suite `dsniff`) dan dapat memenuhi tabel CAM dengan 8.000 entri dalam waktu kurang dari 70 detik pada tautan gigabit. Memahami mekanisme, mode kegagalan, dan tindakan pencegahan berlapis sangat penting bagi setiap insinyur jaringan yang bertanggung jawab atas integritas infrastruktur.

Cara Kerja Tabel CAM dan Mengapa Tabel Tersebut Gagal

Setiap switch Ethernet yang dikelola mempertahankan tabel CAM yang memetakan alamat MAC ke port fisik tertentu. Ketika sebuah frame tiba, switch melakukan pencarian: jika MAC tujuan ada dalam tabel, frame diteruskan hanya ke port yang sesuai (penerusan unicast). Jika MAC tidak diketahui, switch membanjiri frame ke semua port dalam VLAN yang sama — ini adalah perilaku normal yang diharapkan untuk lalu lintas unicast yang tidak diketahui.

Tabel CAM memiliki ukuran terbatas, biasanya berkisar dari 8.000 entri pada switch lapisan akses hingga 128.000+ entri pada switch inti enterprise. Entri akan kedaluwarsa setelah batas waktu tidak aktif (default: 300 detik pada sebagian besar platform Cisco IOS). Penyerang mengeksploitasi ini dengan menyuntikkan frame lebih cepat dari kedaluwarsa entri, sehingga tabel selalu penuh dengan entri sampah.

Mode Kegagalan Fail-Open

Ketika tabel CAM penuh, switch tidak dapat menyimpan pemetaan MAC-ke-port yang baru dan sah. Setiap frame dengan MAC tujuan yang belum ada dalam tabel akan dibanjirkan ke semua port dalam VLAN. Ini disebut perilaku fail-open — switch memprioritaskan konektivitas daripada keamanan, yang merupakan kebalikan dari apa yang dibutuhkan oleh desain yang sadar keamanan.

Konsekuensinya langsung dan parah:

• Sniffing pasif: Setiap host pada segmen dapat menangkap lalu lintas yang ditujukan untuk host lain menggunakan NIC mode promiscuous dan penganalisis paket seperti Wireshark atau tcpdump.
• Serangan Man-in-the-middle (MITM): Dengan visibilitas lalu lintas penuh, penyerang dapat menggabungkan MAC flooding dengan ARP poisoning untuk mencegat, memodifikasi, dan meneruskan lalu lintas antara dua host yang berkomunikasi tanpa salah satu pihak mendeteksi intersepsi tersebut.
• Pemanenan kredensial: Protokol yang tidak terenkripsi (Telnet, FTP, HTTP Basic Auth, SMTP tanpa STARTTLS) mengekspos kredensial secara langsung. Bahkan dengan TLS, metadata dan pola sesi membocorkan data pengintaian yang berharga.
• Degradasi kinerja jaringan: Volume besar frame yang dibanjirkan mengonsumsi bandwidth port dan siklus CPU pada semua host yang terhubung, yang secara efektif merupakan kondisi denial-of-service.

Eksekusi Serangan: Seperti Apa Sebenarnya

Serangan realistis menggunakan `macof` pada host Linux:

“`bash

macof floods the network with random source MACs

-i specifies the interface, -n specifies the number of packets

macof -i eth0 -n 100000

“`

Setiap paket memiliki MAC sumber dan MAC tujuan yang dihasilkan secara acak, memaksa switch untuk mencoba entri CAM baru untuk setiap frame. Pada tautan 100 Mbps, `macof` dapat menghasilkan sekitar 155.000 paket per detik — jauh melebihi tingkat pengisian ulang tabel CAM.

MAC Flooding vs. ARP Spoofing vs. ARP Poisoning

Ketiga serangan ini sering dicampuradukkan tetapi beroperasi pada lapisan yang berbeda dan melalui mekanisme yang berbeda. Memahami perbedaannya sangat penting untuk memilih tindakan pencegahan yang tepat.

Strategi Pencegahan 1: Port Security pada Switch yang Dikelola

Port security adalah pertahanan lini pertama yang paling langsung dan efektif terhadap MAC flooding. Ini beroperasi pada tingkat port, memberlakukan batas keras pada jumlah alamat MAC yang dapat dipelajari pada antarmuka tertentu.

Parameter Konfigurasi Inti

Jumlah maksimum alamat MAC: Tetapkan ini ke jumlah minimum yang diperlukan untuk operasi yang sah. Port yang terhubung ke satu workstation harus mengizinkan tepat satu alamat MAC. Port yang terhubung ke telepon IP dengan PC downstream (topologi daisy-chain yang umum) harus mengizinkan dua.

Mode pelanggaran menentukan apa yang terjadi ketika batas terlampaui:

• `protect` — Membuang frame dari MAC yang tidak dikenal secara diam-diam. Tidak ada pencatatan, tidak ada penonaktifan port. Berguna untuk lingkungan di mana false positive menjadi perhatian, tetapi tidak memberikan visibilitas.
• `restrict` — Membuang frame dari MAC yang tidak dikenal dan menambah penghitung pelanggaran, menghasilkan pesan syslog. Port tetap beroperasi.
• `shutdown` — Segera menempatkan port dalam status err-disabled dan menghasilkan peringatan syslog. Ini adalah opsi paling aman tetapi memerlukan intervensi administratif (atau pemulihan otomatis) untuk memulihkan port.

Pengalamatan MAC sticky (`mac-address sticky`) menginstruksikan switch untuk secara dinamis mempelajari alamat MAC dan menulisnya langsung ke dalam konfigurasi yang berjalan sebagai entri statis. Ini menghilangkan kebutuhan untuk mengisi tabel alamat MAC secara manual sekaligus tetap mengikat perangkat tertentu ke port tertentu.

Contoh Konfigurasi Cisco IOS Lengkap

“`

interface GigabitEthernet0/1

switchport mode access

switchport access vlan 10

switchport port-security

switchport port-security maximum 2

switchport port-security violation shutdown

switchport port-security mac-address sticky

spanning-tree portfast

“`

Untuk memverifikasi status port security:

“`

show port-security interface GigabitEthernet0/1

show port-security address

“`

Untuk memulihkan port yang err-disabled setelah pelanggaran:

“`

interface GigabitEthernet0/1

shutdown

no shutdown

“`

Untuk pemulihan otomatis, konfigurasikan `errdisable recovery cause psecure-violation` dengan interval yang sesuai.

Jebakan Kritis: Port Trunk dan Uplink

Jangan pernah menerapkan port security pada port trunk atau uplink switch. Port-port ini secara sah membawa lalu lintas dari ratusan alamat MAC di berbagai VLAN. Menerapkan batas MAC pada port trunk akan menyebabkan kegagalan konektivitas yang katastrofik. Port security secara eksklusif merupakan fitur access-port.

Strategi Pencegahan 2: Segmentasi VLAN dan Private VLAN

Segmentasi VLAN membatasi radius ledakan serangan MAC flooding dengan membatasi broadcast domain. Jika penyerang membanjiri tabel CAM, hanya VLAN yang berisi port penyerang yang masuk ke mode fail-open — VLAN lain terus beroperasi secara normal.

Segmentasi VLAN Standar

Segmentasikan jaringan Anda berdasarkan fungsi dan tingkat sensitivitas:

• VLAN Manajemen: Perangkat jaringan, antarmuka manajemen out-of-band, akses IPMI/iDRAC/iLO
• VLAN Server: Server produksi, database, tingkatan aplikasi
• VLAN Pengguna: Workstation, printer, endpoint tujuan umum
• VLAN DMZ: Layanan yang menghadap internet, reverse proxy, gateway email
• VLAN Suara: Telepon VoIP (juga mengurangi kompleksitas QoS)

Private VLAN (PVLAN)

Private VLAN memperluas isolasi dalam satu VLAN dengan mendefinisikan peran port:

• Port promiscuous: Dapat berkomunikasi dengan semua port dalam PVLAN (biasanya uplink atau gateway)
• Port isolated: Hanya dapat berkomunikasi dengan port promiscuous — tidak dengan port isolated lainnya
• Port community: Dapat berkomunikasi dengan port lain dalam komunitas yang sama dan dengan port promiscuous

PVLAN sangat berharga dalam lingkungan hosting di mana beberapa penyewa berbagi infrastruktur fisik yang sama. Bahkan jika port satu penyewa dikompromikan, perilaku port isolated mencegah penangkapan lalu lintas lateral. Jika Anda menjalankan beban kerja pada platform VPS Hosting, memahami bagaimana fabric switching yang mendasarinya mengimplementasikan isolasi VLAN sangat relevan dengan model ancaman Anda.

Strategi Pencegahan 3: DHCP Snooping

DHCP snooping membangun tabel binding yang memetakan alamat MAC ke alamat IP, VLAN, dan port switch. Tabel binding ini tidak hanya berguna untuk serangan khusus DHCP — tabel ini berfungsi sebagai sumber kebenaran otoritatif untuk Dynamic ARP Inspection dan IP Source Guard.

Logika Konfigurasi

Port diklasifikasikan sebagai trusted (terhubung ke server DHCP yang sah atau uplink) atau untrusted (terhubung ke klien). Respons DHCP yang tiba pada port untrusted akan dibuang.

“`

ip dhcp snooping

ip dhcp snooping vlan 10,20,30

interface GigabitEthernet0/1

ip dhcp snooping limit rate 15

! Untrusted by default — no additional command needed

interface GigabitEthernet0/24

ip dhcp snooping trust

! Uplink or DHCP server port

“`

Perintah `ip dhcp snooping limit rate 15` membatasi paket DHCP hingga 15 per detik pada port untrusted, mencegah serangan DHCP starvation yang dapat menyertai kampanye MAC flooding.

Tabel Binding DHCP Snooping

“`

show ip dhcp snooping binding

“`

Output tabel ini menampilkan alamat MAC, alamat IP, waktu sewa, VLAN, dan antarmuka — tepat data yang digunakan DAI untuk validasi.

Strategi Pencegahan 4: Dynamic ARP Inspection (DAI)

DAI memvalidasi paket ARP terhadap tabel binding DHCP snooping. Setiap paket ARP yang mengklaim pemetaan MAC-ke-IP yang tidak cocok dengan tabel binding akan dibuang. Ini secara langsung menangkal ARP poisoning yang biasanya dilapis oleh penyerang di atas MAC flooding.

“`

ip arp inspection vlan 10,20,30

interface GigabitEthernet0/24

ip arp inspection trust

! Uplink — trusted for ARP

interface GigabitEthernet0/1

ip arp inspection limit rate 100

! Limit ARP rate on access ports

“`

DAI juga mencatat paket yang dibuang, memberikan bukti forensik dari upaya serangan:

“`

show ip arp inspection statistics vlan 10

“`

IP Source Guard: Lapisan Terakhir

IP Source Guard memperluas tabel binding DHCP snooping untuk memfilter paket IP. Hanya paket dengan IP sumber yang cocok dengan entri tabel binding untuk port tersebut yang diteruskan. Ini mencegah IP spoofing bahkan setelah kejadian MAC flooding yang berhasil.

“`

interface GigabitEthernet0/1

ip verify source

“`

Kombinasi port security + DHCP snooping + DAI + IP Source Guard menciptakan tumpukan defense-in-depth yang mengatasi MAC flooding, ARP spoofing, DHCP starvation, dan IP spoofing secara bersamaan.

Strategi Pencegahan 5: 802.1X Network Access Control

IEEE 802.1X menyediakan kontrol akses jaringan berbasis port dengan mengharuskan autentikasi sebelum port diizinkan untuk melewatkan lalu lintas. Perangkat yang tidak terautentikasi — termasuk mesin penyerang yang menyuntikkan paket MAC flooding — ditempatkan dalam status tidak terotorisasi dan tidak dapat berkomunikasi dengan jaringan.

Arsitektur 802.1X melibatkan tiga komponen:

• Supplicant: Perangkat klien (workstation, server)
• Authenticator: Port switch
• Server autentikasi: Server RADIUS (FreeRADIUS, Cisco ISE, Microsoft NPS)

Sampai supplicant berhasil mengautentikasi melalui EAP (Extensible Authentication Protocol), port hanya melewatkan frame EAPOL (EAP over LAN). MAC flooding dari port yang tidak terautentikasi tidak mungkin terjadi karena port tidak memiliki akses data-plane.

“`

aaa new-model

aaa authentication dot1x default group radius

dot1x system-auth-control

interface GigabitEthernet0/1

authentication port-control auto

dot1x pae authenticator

“`

802.1X adalah kontrol pencegahan terkuat yang tersedia untuk keamanan lapisan akses, tetapi memerlukan infrastruktur RADIUS dan konfigurasi supplicant pada semua endpoint — investasi operasional yang signifikan.

Strategi Pencegahan 6: Pemantauan Jaringan dan Deteksi Anomali

Tidak ada kontrol pencegahan yang sempurna. Pemantauan berkelanjutan memberikan kemampuan deteksi yang diperlukan untuk mengidentifikasi serangan yang melewati atau mendahului tindakan pencegahan.

Indikator MAC Flooding

• Peningkatan cepat dalam jumlah alamat MAC yang dipelajari pada satu port
• Utilisasi tabel CAM mendekati kapasitas 80-90%
• Lonjakan volume lalu lintas broadcast di seluruh VLAN
• Peningkatan kejadian pembanjiran unicast yang tidak diketahui
• Lonjakan utilisasi CPU pada switch (karena pemrosesan pembanjiran)

Alat dan Teknik Pemantauan

Polling SNMP: Kueri `dot1dTpFdbTable` (RFC 1493) atau `dot1qFdbTable` (RFC 2674) untuk melacak ukuran tabel CAM dari waktu ke waktu. Beri peringatan ketika entri melebihi ambang batas yang ditentukan.

Analisis NetFlow/sFlow: Data aliran mengungkapkan pola lalu lintas yang anomali — satu sumber yang menghasilkan ribuan alamat MAC sumber unik adalah indikator yang jelas.

Sistem Deteksi Intrusi: Snort dan Suricata memiliki aturan untuk mendeteksi pola MAC flooding. Zeek (sebelumnya Bro) dapat dikonfigurasi untuk memberi peringatan pada perputaran alamat MAC yang cepat.

Wireshark/tshark untuk forensik: Saat menyelidiki serangan yang dicurigai, tangkap pada port mirror/SPAN dan filter untuk MAC sumber unik:

“`bash

tshark -i eth0 -T fields -e eth.src | sort | uniq -c | sort -rn | head -20

“`

Host yang sah menghasilkan sejumlah kecil MAC sumber unik (biasanya satu). Penyerang yang menjalankan `macof` menghasilkan ribuan per detik.

SPAN/RSPAN untuk Analisis Lalu Lintas

Konfigurasikan sesi SPAN (Switched Port Analyzer) untuk mencerminkan lalu lintas ke host pemantauan:

“`

monitor session 1 source vlan 10

monitor session 1 destination interface GigabitEthernet0/48

“`

Ini memungkinkan IDS/IPS khusus atau perangkat penangkap paket untuk menganalisis semua lalu lintas VLAN 10 tanpa mengganggu penerusan produksi.

Pertimbangan Perangkat Keras: Ukuran Tabel CAM dan Pemilihan Switch

Meningkatkan ke switch dengan tabel CAM yang lebih besar meningkatkan hambatan bagi penyerang tetapi bukan pengganti untuk kontrol yang dijelaskan di atas. Penyerang yang bertekad dengan bandwidth yang cukup dapat membanjiri tabel terbatas mana pun.

Untuk beban kerja produksi — khususnya yang berjalan pada Server Dedicated yang terhubung ke infrastruktur switching enterprise — tingkatan switch secara langsung memengaruhi jendela eksposur Anda selama serangan aktif.

Mengamankan Lingkungan Hosted dan Cloud

MAC flooding adalah serangan segmen lokal. Dalam lingkungan shared hosting atau colocation, model ancaman bergeser: penyewa yang dikompromikan atau berbahaya pada fabric switch fisik yang sama dapat menargetkan penyewa lain.

Untuk lingkungan di mana Anda mengontrol hypervisor atau virtual switch (Open vSwitch, VMware vSwitch), kontrol yang setara tersedia:

Port security Open vSwitch:

“`bash

ovs-vsctl set port <port-name> other_config:rstp-enable=true

ovs-vsctl set Interface <port-name> type=internal

Limit MAC learning via OpenFlow rules

“`

VMware vSwitch: Aktifkan “MAC Address Changes: Reject” dan “Forged Transmits: Reject” dalam kebijakan keamanan vSwitch. Ini mencegah VM menyuntikkan frame dengan MAC sumber selain MAC yang ditetapkan.

Jika Anda mengelola aplikasi web atau layanan pada VPS dengan cPanel atau menggunakan Panel Kontrol VPS untuk manajemen server, verifikasi dengan penyedia Anda bahwa hypervisor yang mendasarinya memberlakukan anti-spoofing MAC pada tingkat virtual switch — ini adalah setara virtualisasi dari port security.

Untuk organisasi yang menjalankan layanan dengan terminasi SSL, memastikan bahwa Sertifikat SSL Anda dikonfigurasi dengan benar memberikan lapisan perlindungan tambahan: bahkan jika penyerang berhasil mencegat lalu lintas melalui MAC flooding, TLS yang diimplementasikan dengan benar dengan certificate pinning mencegah pemanenan kredensial dari sesi terenkripsi.

Matriks Keputusan: Memilih Kontrol yang Tepat

Gunakan matriks ini untuk memprioritaskan kontrol berdasarkan jenis lingkungan Anda:

Daftar Periksa Poin Utama Teknis

Sebelum menganggap lingkungan Layer 2 Anda diperkuat terhadap MAC flooding, verifikasi masing-masing hal berikut:

• Port security dikonfigurasi pada semua access port dengan batas MAC yang sesuai dengan jenis perangkat yang terhubung (1 untuk workstation, 2 untuk rantai telepon IP + PC)
• Mode pelanggaran diatur ke `shutdown` pada port keamanan tinggi dan `restrict` dengan pencatatan pada access port umum
• Pembelajaran MAC sticky diaktifkan dan konfigurasi yang berjalan disimpan ke NVRAM
• DHCP snooping diaktifkan pada semua VLAN produksi dengan penunjukan port trusted/untrusted yang benar dan pembatasan laju pada port untrusted
• Dynamic ARP Inspection diaktifkan pada semua VLAN produksi dan divalidasi terhadap tabel binding DHCP snooping
• IP Source Guard diterapkan pada access port untrusted di segmen keamanan tinggi
• VLAN disegmentasi berdasarkan fungsi tanpa routing antar-VLAN yang tidak diperlukan
• Private VLAN diimplementasikan dalam lingkungan multi-penyewa atau hosting
• 802.1X diterapkan atau direncanakan untuk semua port lapisan akses
• Pemantauan SNMP dikonfigurasi untuk memberi peringatan pada ambang batas utilisasi tabel CAM
• NetFlow atau sFlow diaktifkan dan memberi umpan ke sistem deteksi anomali
• Sesi SPAN dikonfigurasi untuk visibilitas IDS/IPS pada VLAN kritis
• Kebijakan keamanan virtual switch (anti-MAC-spoofing, penolakan transmisi palsu) diberlakukan pada tingkat hypervisor
• TLS diberlakukan untuk semua lalu lintas aplikasi sensitif sehingga bahkan intersepsi yang berhasil pun tidak menghasilkan kredensial plaintext

Pertanyaan yang Sering Diajukan

Apakah MAC flooding dapat memengaruhi jaringan nirkabel?

Infrastruktur Wi-Fi standar menggunakan model asosiasi yang berbeda — access point mengelola asosiasi klien melalui protokol 802.11, bukan tabel CAM dalam pengertian Ethernet. Namun, kontroler nirkabel atau switch kabel upstream yang melayani AP masih dapat menjadi target. Selain itu, serangan rogue AP pada jaringan nirkabel mencapai tujuan intersepsi yang serupa melalui mekanisme yang berbeda.

Apakah MAC flooding bekerja terhadap switch enterprise modern dengan tabel CAM yang besar?

Ya, tetapi serangan memerlukan lebih banyak bandwidth dan waktu. Switch dengan tabel CAM 128.000 entri memerlukan frame yang dipalsukan secara proporsional lebih banyak untuk menghabiskannya. Namun, `macof` pada tautan 10 Gbps dapat menghasilkan jutaan frame per detik, membuat bahkan tabel yang besar pun rentan dalam hitungan detik. Inilah mengapa tindakan pencegahan tingkat perangkat keras seperti port security sangat penting — tindakan tersebut mencegah tabel terisi sejak awal.

Apa perbedaan antara MAC flooding dan MAC spoofing?

MAC flooding menghabiskan tabel CAM melalui volume — tujuannya adalah memaksa pembanjiran seperti hub. MAC spoofing melibatkan peniruan alamat MAC tertentu yang sah untuk membajak sesi atau melewati kontrol akses berbasis MAC. Keduanya adalah serangan yang berbeda, meskipun penyerang dapat menggunakan MAC spoofing setelah kejadian MAC flooding yang berhasil untuk mempertahankan posisi MITM yang persisten.

Apakah mengaktifkan port security merusak operasi jaringan yang sah seperti DHCP?

Tidak, jika dikonfigurasi dengan benar. Lalu lintas DHCP berasal dari alamat MAC klien, yang merupakan satu alamat MAC yang diizinkan pada port tersebut. Respons server DHCP ditujukan ke MAC klien dan tiba pada uplink (port trusted). Port security pada access port tidak mengganggu DHCP kecuali batas ditetapkan ke nol atau mode pelanggaran secara keliru membuang lalu lintas yang sah.

Bagaimana cara mendeteksi serangan MAC flooding yang sudah dimulai?

Periksa utilisasi tabel CAM segera: `show mac address-table count`. Jika utilisasi mendekati 100%, silang referensi dengan `show mac address-table dynamic` untuk mengidentifikasi port dengan jumlah alamat MAC yang dipelajari yang sangat tinggi. Secara bersamaan, periksa penghitung kesalahan antarmuka dengan `show interfaces` untuk lonjakan laju input. Port yang bermasalah akan menunjukkan laju paket input yang sangat tinggi dan jumlah alamat MAC yang dipelajari yang sangat banyak.