MAC Flooding Saldırıları: Teknik Derinlemesine İnceleme ve Önleme Stratejileri

MAC flooding, bir Ethernet anahtarının CAM (İçerik Adreslenebilir Bellek) tablosunu sahte, rastgele kaynak MAC adresleriyle binlerce çerçeve enjekte ederek kasıtlı olarak tüketen bir Katman 2 ağ saldırısıdır. CAM tablosu kapasiteye ulaştığında, anahtar hub benzeri davranışa geçer — gelen tüm çerçeveleri her porta yayınlar — bu da tüm yayın etki alanını pasif dinlemeye ve aktif manipülasyona açık hale getirir.

Bu saldırı teorik değildir. `macof` (`dsniff` paketinin bir parçası) gibi araçlarla önemsiz biçimde gerçekleştirilebilir ve gigabit bir bağlantıda tipik bir 8.000 girişli CAM tablosunu 70 saniyenin altında doyurabilir. Mekanikleri, hata modlarını ve katmanlı karşı önlemleri anlamak, altyapı bütünlüğünden sorumlu her ağ mühendisi için zorunludur.

CAM Tablosu Nasıl Çalışır ve Neden Başarısız Olur

Her yönetilen Ethernet anahtarı, MAC adreslerini belirli fiziksel portlarla eşleştiren bir CAM tablosu tutar. Bir çerçeve geldiğinde, anahtar bir arama gerçekleştirir: hedef MAC tablodaysa, çerçeve yalnızca ilgili porta iletilir (tekil yönlendirme). MAC bilinmiyorsa, anahtar çerçeveyi aynı VLAN’daki tüm portlara taşar — bu, bilinmeyen tekil trafik için normal, beklenen davranıştır.

CAM tablosunun sınırlı bir boyutu vardır; erişim katmanı anahtarlarında tipik olarak 8.000 girişten kurumsal çekirdek anahtarlarda 128.000+ girişe kadar uzanır. Girişler, bir etkinlik dışı kalma zaman aşımından sonra silinir (varsayılan: çoğu Cisco IOS platformunda 300 saniye). Saldırgan bunu, girişlerin silinme hızından daha hızlı çerçeve enjekte ederek, tabloyu sürekli olarak sahte girişlerle dolu tutarak istismar eder.

Açık Hata Modu

CAM tablosu dolduğunda, anahtar yeni meşru MAC-port eşlemelerini depolayamaz. Tabloda henüz bulunmayan bir hedef MAC’e sahip her çerçeve, VLAN’daki tüm portlara taşar. Buna açık hata davranışı denir — anahtar, güvenlik bilincine sahip bir tasarımın gerektirdiğinin tam tersine, güvenlik yerine bağlantıyı önceliklendirir.

Sonuçlar anlık ve ciddidir:

• Pasif dinleme: Segmentteki herhangi bir ana bilgisayar, karışık modlu bir NIC ve Wireshark veya tcpdump gibi bir paket analizörü kullanarak diğer ana bilgisayarlara yönelik trafiği yakalayabilir.
• Ortadaki adam (MITM) saldırıları: Tam trafik görünürlüğüyle, bir saldırgan MAC flooding’i ARP zehirlenmesiyle birleştirerek iki iletişim kuran ana bilgisayar arasındaki trafiği her iki taraf da müdahaleyi fark etmeden yakalayabilir, değiştirebilir ve iletebilir.
• Kimlik bilgisi toplama: Şifrelenmemiş protokoller (Telnet, FTP, HTTP Temel Kimlik Doğrulama, STARTTLS olmadan SMTP) kimlik bilgilerini doğrudan açığa çıkarır. TLS ile bile, meta veriler ve oturum kalıpları değerli keşif verileri sızdırır.
• Ağ performansı düşüşü: Taşan çerçevelerin büyük hacmi, bağlı tüm ana bilgisayarlarda port bant genişliğini ve CPU döngülerini tüketir; bu da etkin bir hizmet reddi koşulu oluşturur.

Saldırı Yürütme: Gerçekte Nasıl Görünür

Bir Linux ana bilgisayarında `macof` kullanan gerçekçi bir saldırı:

“`bash

macof floods the network with random source MACs

-i specifies the interface, -n specifies the number of packets

macof -i eth0 -n 100000

“`

Her paketin rastgele oluşturulmuş bir kaynak MAC ve hedef MAC’i vardır; bu da anahtarı her çerçeve için yeni bir CAM girişi oluşturmaya zorlar. 100 Mbps’lik bir bağlantıda, `macof` saniyede yaklaşık 155.000 paket üretebilir — CAM tablosu yenileme hızını çok aşar.

MAC Flooding ile ARP Spoofing ile ARP Poisoning Karşılaştırması

Bu üç saldırı sıklıkla birbirine karıştırılır, ancak farklı katmanlarda ve farklı mekanizmalar aracılığıyla çalışır. Ayrımı anlamak, doğru karşı önlemi seçmek için kritik öneme sahiptir.

Önleme Stratejisi 1: Yönetilen Anahtarlarda Port Güvenliği

Port güvenliği, MAC flooding’e karşı en doğrudan ve etkili ilk savunma hattıdır. Port düzeyinde çalışarak, herhangi bir arayüzde öğrenilebilecek MAC adresi sayısına sabit bir sınır uygular.

Temel Yapılandırma Parametreleri

Maksimum MAC adresleri: Bunu meşru işlem için gereken minimum sayıya ayarlayın. Tek bir iş istasyonuna bağlı bir port tam olarak bir MAC adresine izin vermelidir. Aşağı akış PC’si olan bir IP telefonuna bağlı bir port (yaygın bir zincir topolojisi) ikisine izin vermelidir.

İhlal modları, sınır aşıldığında ne olacağını belirler:

• `protect` — Bilinmeyen MAC’lerden gelen çerçeveleri sessizce düşürür. Günlük kaydı yok, port kapatma yok. Yanlış pozitiflerin endişe verici olduğu ortamlar için kullanışlıdır, ancak görünürlük sağlamaz.
• `restrict` — Bilinmeyen MAC’lerden gelen çerçeveleri düşürür ve bir syslog mesajı oluşturarak ihlal sayacını artırır. Port çalışmaya devam eder.
• `shutdown` — Portu hemen err-disabled durumuna alır ve bir syslog uyarısı oluşturur. Bu en güvenli seçenektir, ancak portu geri yüklemek için yönetici müdahalesi (veya otomatik kurtarma) gerektirir.

Yapışkan MAC adresleme (`mac-address sticky`), anahtara MAC adreslerini dinamik olarak öğrenmesini ve bunları doğrudan çalışan yapılandırmaya statik girişler olarak yazmasını talimat verir. Bu, belirli cihazları belirli portlara bağlarken MAC adres tablolarını manuel olarak önceden doldurma ihtiyacını ortadan kaldırır.

Eksiksiz Cisco IOS Yapılandırma Örneği

“`

interface GigabitEthernet0/1

switchport mode access

switchport access vlan 10

switchport port-security

switchport port-security maximum 2

switchport port-security violation shutdown

switchport port-security mac-address sticky

spanning-tree portfast

“`

Port güvenliği durumunu doğrulamak için:

“`

show port-security interface GigabitEthernet0/1

show port-security address

“`

İhlalden sonra err-disabled bir portu kurtarmak için:

“`

interface GigabitEthernet0/1

shutdown

no shutdown

“`

Otomatik kurtarma için, uygun bir aralıkla `errdisable recovery cause psecure-violation` yapılandırın.

Kritik Tuzak: Trunk Portlar ve Uplink’ler

Trunk portlara veya anahtar uplink’lerine asla port güvenliği uygulamayın. Bu portlar meşru olarak birden fazla VLAN’daki yüzlerce MAC adresinden trafik taşır. Bir trunk porta MAC sınırı uygulamak, felaket niteliğinde bağlantı hatalarına neden olur. Port güvenliği yalnızca erişim portu özelliğidir.

Önleme Stratejisi 2: VLAN Segmentasyonu ve Özel VLAN’lar

VLAN segmentasyonu, yayın etki alanını kısıtlayarak bir MAC flooding saldırısının patlama yarıçapını sınırlar. Bir saldırgan CAM tablosunu doldurursa, yalnızca saldırganın portunun bulunduğu VLAN açık hata moduna girer — diğer VLAN’lar normal şekilde çalışmaya devam eder.

Standart VLAN Segmentasyonu

Ağınızı işlev ve hassasiyet düzeyine göre segmentlere ayırın:

• Yönetim VLAN’ı: Ağ cihazları, bant dışı yönetim arayüzleri, IPMI/iDRAC/iLO erişimi
• Sunucu VLAN’ı: Üretim sunucuları, veritabanları, uygulama katmanları
• Kullanıcı VLAN’ı: İş istasyonları, yazıcılar, genel amaçlı uç noktalar
• DMZ VLAN’ı: İnternete yönelik hizmetler, ters proxy’ler, posta ağ geçitleri
• Ses VLAN’ı: VoIP telefonlar (aynı zamanda QoS karmaşıklığını azaltır)

Özel VLAN’lar (PVLAN’lar)

Özel VLAN’lar, port rolleri tanımlayarak tek bir VLAN içinde izolasyonu genişletir:

• Promiscuous portlar: PVLAN’daki tüm portlarla iletişim kurabilir (genellikle uplink veya ağ geçidi)
• İzole portlar: Yalnızca promiscuous portlarla iletişim kurabilir — diğer izole portlarla değil
• Topluluk portları: Aynı toplulukta bulunan diğer portlarla ve promiscuous portlarla iletişim kurabilir

PVLAN’lar, birden fazla kiracının aynı fiziksel altyapıyı paylaştığı barındırma ortamlarında özellikle değerlidir. Bir kiracının portu ele geçirilse bile, izole port davranışı yanal trafik yakalamayı önler. VPS Hosting platformunda iş yükleri çalıştırıyorsanız, temel anahtarlama yapısının VLAN izolasyonunu nasıl uyguladığını anlamak tehdit modelinizle doğrudan ilgilidir.

Önleme Stratejisi 3: DHCP Snooping

DHCP snooping, MAC adreslerini IP adresleriyle, VLAN’larla ve anahtar portlarıyla eşleştiren bir bağlama tablosu oluşturur. Bu bağlama tablosu yalnızca DHCP’ye özgü saldırılar için değil — Dinamik ARP Denetimi ve IP Kaynak Koruması için yetkili gerçek kaynağı olarak da hizmet eder.

Yapılandırma Mantığı

Portlar güvenilir (meşru DHCP sunucularına veya uplink’lere bağlı) veya güvenilmez (istemcilere bağlı) olarak sınıflandırılır. Güvenilmez portlara gelen DHCP yanıtları düşürülür.

“`

ip dhcp snooping

ip dhcp snooping vlan 10,20,30

interface GigabitEthernet0/1

ip dhcp snooping limit rate 15

! Untrusted by default — no additional command needed

interface GigabitEthernet0/24

ip dhcp snooping trust

! Uplink or DHCP server port

“`

`ip dhcp snooping limit rate 15` komutu, güvenilmez portlarda DHCP paketlerini saniyede 15 ile sınırlandırarak MAC flooding kampanyalarına eşlik edebilecek DHCP açlık saldırılarını önler.

DHCP Snooping Bağlama Tablosu

“`

show ip dhcp snooping binding

“`

Bu tablo çıktısı MAC adresini, IP adresini, kira süresini, VLAN’ı ve arayüzü gösterir — tam olarak DAI’nin doğrulama için kullandığı veriler.

Önleme Stratejisi 4: Dinamik ARP Denetimi (DAI)

DAI, ARP paketlerini DHCP snooping bağlama tablosuna göre doğrular. Bağlama tablosuyla eşleşmeyen bir MAC-IP eşlemesi talep eden herhangi bir ARP paketi düşürülür. Bu, saldırganların genellikle MAC flooding’in üzerine katmanladığı ARP zehirlenmesini doğrudan engeller.

“`

ip arp inspection vlan 10,20,30

interface GigabitEthernet0/24

ip arp inspection trust

! Uplink — trusted for ARP

interface GigabitEthernet0/1

ip arp inspection limit rate 100

! Limit ARP rate on access ports

“`

DAI ayrıca düşürülen paketleri günlüğe kaydeder ve saldırı girişimlerinin adli kanıtlarını sağlar:

“`

show ip arp inspection statistics vlan 10

“`

IP Kaynak Koruması: Son Katman

IP Kaynak Koruması, IP paketlerini filtrelemek için DHCP snooping bağlama tablosunu genişletir. Yalnızca o port için bağlama tablosu girdisiyle eşleşen bir kaynak IP’ye sahip paketler iletilir. Bu, başarılı bir MAC flooding olayından sonra bile IP sahteciliğini önler.

“`

interface GigabitEthernet0/1

ip verify source

“`

Port güvenliği + DHCP snooping + DAI + IP Kaynak Koruması kombinasyonu, MAC flooding, ARP spoofing, DHCP açlığı ve IP sahteciliğini aynı anda ele alan derinlemesine savunma yığını oluşturur.

Önleme Stratejisi 5: 802.1X Ağ Erişim Kontrolü

IEEE 802.1X, bir portun trafik geçirmesine izin verilmeden önce kimlik doğrulaması gerektirerek port tabanlı ağ erişim kontrolü sağlar. Kimliği doğrulanmamış bir cihaz — MAC flooding paketleri enjekte eden bir saldırganın makinesi dahil — yetkisiz duruma alınır ve ağla iletişim kuramaz.

802.1X mimarisi üç bileşen içerir:

• Supplicant: İstemci cihaz (iş istasyonu, sunucu)
• Authenticator: Anahtar portu
• Kimlik doğrulama sunucusu: Bir RADIUS sunucusu (FreeRADIUS, Cisco ISE, Microsoft NPS)

Supplicant EAP (Genişletilebilir Kimlik Doğrulama Protokolü) aracılığıyla başarıyla kimlik doğrulayana kadar, port yalnızca EAPOL (LAN üzerinden EAP) çerçevelerini geçirir. Kimliği doğrulanmamış bir porttan MAC flooding imkânsızdır çünkü portun veri düzlemi erişimi yoktur.

“`

aaa new-model

aaa authentication dot1x default group radius

dot1x system-auth-control

interface GigabitEthernet0/1

authentication port-control auto

dot1x pae authenticator

“`

802.1X, erişim katmanı güvenliği için mevcut en güçlü önleyici kontroldür, ancak bir RADIUS altyapısı ve tüm uç noktalarda supplicant yapılandırması gerektirir — bu önemli bir operasyonel yatırımdır.

Önleme Stratejisi 6: Ağ İzleme ve Anomali Tespiti

Hiçbir önleyici kontrol yanılmaz değildir. Sürekli izleme, önleyici önlemleri atlayan veya önceleyen saldırıları tespit etmek için gereken tespit kapasitesini sağlar.

MAC Flooding Göstergeleri

• Tek bir portta öğrenilen MAC adresi sayısında hızlı artış
• CAM tablosu kullanımının %80-90 kapasiteye yaklaşması
• Bir VLAN genelinde yayın trafiği hacminde ani artış
• Bilinmeyen tekil taşma olaylarında artış
• Anahtarlarda CPU kullanımı artışları (taşma işlemi nedeniyle)

İzleme Araçları ve Teknikleri

SNMP polling: CAM tablo boyutunu zaman içinde takip etmek için `dot1dTpFdbTable` (RFC 1493) veya `dot1qFdbTable` (RFC 2674) sorgulayın. Girişler tanımlı bir eşiği aştığında uyarı verin.

NetFlow/sFlow analizi: Akış verileri anormal trafik kalıplarını ortaya çıkarır — binlerce benzersiz kaynak MAC adresi üreten tek bir kaynak açık bir göstergedir.

Saldırı Tespit Sistemleri: Snort ve Suricata’nın MAC flooding kalıplarını tespit etmek için kuralları vardır. Zeek (eski adıyla Bro), hızlı MAC adresi değişiminde uyarı verecek şekilde yapılandırılabilir.

Adli analiz için Wireshark/tshark: Şüpheli bir saldırıyı araştırırken, bir mirror/SPAN portunda yakalayın ve benzersiz kaynak MAC’ler için filtreleyin:

“`bash

tshark -i eth0 -T fields -e eth.src | sort | uniq -c | sort -rn | head -20

“`

Meşru bir ana bilgisayar birkaç benzersiz kaynak MAC üretir (genellikle bir tane). `macof` çalıştıran bir saldırgan saniyede binlerce üretir.

Trafik Analizi için SPAN/RSPAN

Trafiği bir izleme ana bilgisayarına yansıtmak için bir SPAN (Anahtarlanmış Port Analizörü) oturumu yapılandırın:

“`

monitor session 1 source vlan 10

monitor session 1 destination interface GigabitEthernet0/48

“`

Bu, özel bir IDS/IPS veya paket yakalama cihazının üretim yönlendirmesini bozmadan tüm VLAN 10 trafiğini analiz etmesine olanak tanır.

Donanım Değerlendirmeleri: CAM Tablo Boyutu ve Anahtar Seçimi

Daha büyük CAM tablolarına sahip anahtarlara yükseltme yapmak, saldırganlar için çıtayı yükseltir, ancak yukarıda açıklanan kontrollerin yerini alamaz. Yeterli bant genişliğine sahip kararlı bir saldırgan, herhangi bir sonlu tabloyu doldurabilir.

Üretim iş yükleri için — özellikle kurumsal anahtarlama altyapısına bağlı Dedicated Servers üzerinde çalışanlar — anahtar katmanı, aktif bir saldırı sırasında maruz kalma pencerenizi doğrudan etkiler.

Barındırılan ve Bulut Ortamlarının Güvenliğini Sağlama

MAC flooding, yerel segment saldırısıdır. Paylaşılan barındırma veya ortak yerleşim ortamında tehdit modeli değişir: aynı fiziksel anahtar yapısındaki ele geçirilmiş veya kötü niyetli bir kiracı diğer kiracıları hedef alabilir.

Hiper yöneticiyi veya sanal anahtarı (Open vSwitch, VMware vSwitch) kontrol ettiğiniz ortamlar için eşdeğer kontroller mevcuttur:

Open vSwitch port güvenliği:

“`bash

ovs-vsctl set port <port-name> other_config:rstp-enable=true

ovs-vsctl set Interface <port-name> type=internal

Limit MAC learning via OpenFlow rules

“`

VMware vSwitch: vSwitch güvenlik politikasında “MAC Adresi Değişiklikleri: Reddet” ve “Sahte İletimler: Reddet” seçeneklerini etkinleştirin. Bu, bir VM’nin atanmış MAC’i dışındaki kaynak MAC’lerle çerçeve enjekte etmesini önler.

cPanel’li VPS üzerinde web uygulamaları veya hizmetleri yönetiyorsanız ya da sunucu yönetimi için VPS Kontrol Panelleri kullanıyorsanız, sağlayıcınızla temel hiper yöneticinin sanal anahtar düzeyinde MAC sahteciliği önlemeyi uyguladığını doğrulayın — bu, port güvenliğinin sanallaştırılmış eşdeğeridir.

SSL sonlandırmalı hizmetler çalıştıran kuruluşlar için, SSL Sertifikalarınızın doğru yapılandırıldığından emin olmak ek bir koruma katmanı sağlar: bir saldırgan MAC flooding yoluyla trafik yakalamayı başarsa bile, sertifika sabitleme ile düzgün uygulanan TLS, şifreli oturumlardan kimlik bilgisi toplanmasını önler.

Karar Matrisi: Doğru Kontrolleri Seçme

Ortam türünüze göre kontrolleri önceliklendirmek için bu matrisi kullanın:

Teknik Temel Çıkarım Kontrol Listesi

Katman 2 ortamınızı MAC flooding’e karşı güçlendirilmiş saymadan önce aşağıdakilerin her birini doğrulayın:

• Port güvenliği, bağlı cihaz türüne uygun MAC sınırıyla (iş istasyonları için 1, IP telefon + PC zincirleri için 2) tüm erişim portlarında yapılandırılmıştır
• İhlal modu, yüksek güvenlikli portlarda `shutdown` ve genel erişim portlarında günlük kaydıyla `restrict` olarak ayarlanmıştır
• Yapışkan MAC öğrenme etkinleştirilmiş ve çalışan yapılandırma NVRAM’a kaydedilmiştir
• DHCP snooping, güvenilmez portlarda doğru güvenilir/güvenilmez port tanımlamaları ve hız sınırlamasıyla tüm üretim VLAN’larında etkinleştirilmiştir
• Dinamik ARP Denetimi tüm üretim VLAN’larında etkinleştirilmiş ve DHCP snooping bağlama tablosuna göre doğrulanmıştır
• IP Kaynak Koruması, yüksek güvenlikli segmentlerdeki güvenilmez erişim portlarında dağıtılmıştır
• VLAN’lar gereksiz VLAN’lar arası yönlendirme olmaksızın işleve göre segmentlere ayrılmıştır
• Özel VLAN’lar çok kiracılı veya barındırma ortamlarında uygulanmıştır
• 802.1X tüm erişim katmanı portları için dağıtılmış veya yol haritasına alınmıştır
• SNMP izleme, CAM tablosu kullanım eşiklerinde uyarı verecek şekilde yapılandırılmıştır
• NetFlow veya sFlow etkinleştirilmiş ve bir anomali tespit sistemine beslenmektedir
• SPAN oturumları kritik VLAN’larda IDS/IPS görünürlüğü için yapılandırılmıştır
• Sanal anahtar güvenlik politikaları (MAC sahteciliği önleme, sahte iletim reddi) hiper yönetici düzeyinde uygulanmaktadır
• TLS, tüm hassas uygulama trafiği için zorunlu kılınmıştır; böylece başarılı bir müdahale bile düz metin kimlik bilgileri vermez

Sıkça Sorulan Sorular

MAC flooding kablosuz ağları etkiler mi?

Standart Wi-Fi altyapısı farklı bir ilişkilendirme modeli kullanır — erişim noktaları istemci ilişkilendirmelerini Ethernet anlamında bir CAM tablosu değil, 802.11 protokolü aracılığıyla yönetir. Ancak, AP’ye hizmet veren kablosuz denetleyici veya yukarı akış kablolu anahtar yine de hedef alınabilir. Ek olarak, kablosuz ağlardaki sahte AP saldırıları farklı mekanizmalar aracılığıyla benzer müdahale hedeflerine ulaşır.

MAC flooding büyük CAM tablolarına sahip modern kurumsal anahtarlara karşı işe yarar mı?

Evet, ancak saldırı daha fazla bant genişliği ve zaman gerektirir. 128.000 girişli CAM tablosuna sahip bir anahtar, tükenmesi için orantılı olarak daha fazla sahte çerçeve gerektirir. Ancak, 10 Gbps’lik bir bağlantıda `macof` saniyede milyonlarca çerçeve üretebilir; bu da büyük tabloları bile saniyeler içinde savunmasız kılar. Bu nedenle port güvenliği gibi donanım düzeyindeki karşı önlemler zorunludur — tablonun baştan doldurulmasını önlerler.

MAC flooding ile MAC spoofing arasındaki fark nedir?

MAC flooding, CAM tablosunu hacim yoluyla tüketir — amaç hub benzeri taşmayı zorlamaktır. MAC spoofing, bir oturumu ele geçirmek veya MAC tabanlı erişim kontrollerini atlatmak için belirli, meşru bir MAC adresini taklit etmeyi içerir. Bunlar farklı saldırılardır; ancak bir saldırgan, kalıcı bir MITM konumunu sürdürmek için başarılı bir MAC flooding olayından sonra MAC spoofing kullanabilir.

Port güvenliğini etkinleştirmek DHCP gibi meşru ağ işlemlerini bozar mı?

Hayır, doğru yapılandırıldığında. DHCP trafiği, portta izin verilen tek MAC adresi olan istemcinin MAC adresinden kaynaklanır. DHCP sunucusunun yanıtı istemcinin MAC’ine yöneliktir ve uplink üzerinden gelir (güvenilir bir port). Erişim portlarındaki port güvenliği, sınır sıfıra ayarlanmadığı veya ihlal modu meşru trafiği yanlışlıkla düşürmedikçe DHCP’ye müdahale etmez.

Zaten başlamış bir MAC flooding saldırısını nasıl tespit ederim?

CAM tablosu kullanımını hemen kontrol edin: `show mac address-table count`. Kullanım %100’e yakınsa, anormal sayıda öğrenilmiş MAC adresine sahip portları belirlemek için `show mac address-table dynamic` ile çapraz referans yapın. Aynı anda, giriş hızı artışları için `show interfaces` ile arayüz hata sayaçlarını kontrol edin. Sorunlu port, dramatik biçimde yüksek bir giriş paketi hızı ve olağandışı yüksek sayıda öğrenilmiş MAC adresi gösterecektir.