Saturation de la table d'apprentissage

Dans le cadre du réseau informatique, la saturation de la table d'apprentissage (MAC flooding en anglais) est une technique employée pour compromettre la sécurité des commutateurs réseau.

PrincipeModifier

Les commutateurs tiennent à jour une table d'apprentissage qui associe les adresses MAC Ethernet aux différents ports physiques du commutateur. Cela permet au commutateur d'envoyer les trames Ethernet directement aux machines à qui elles sont destinées. Pour cela, le commutateur regarde l'adresse destination de la trame, puis il en déduit le port correspondant qui figure dans la table d'apprentissage. Cette méthode d'envoi ciblé s'oppose à la diffusion (broadcast) aveugle telle qu'elle est pratiquée par les concentrateurs (hubs) et qui consiste à envoyer sur tous les ports, que le destinataire y soit connecté ou pas. Dans le processus d'apprentissage, le commutateur apprend les adresses MAC associées à chaque port en regardant les adresses sources des trames qui le traversent.

Dans une attaque par saturation, le pirate envoie de nombreuses trames Ethernet au commutateur, chacune d'entre elles ayant une adresse MAC source différente. Le but est de remplir l'espace nécessairement limité de la mémoire du commutateur consacré à la table d'apprentissage[1].

L'effet de cette attaque peut varier suivant la marque et le modèle du commutateur. L'effet désiré par l'attaquant est néanmoins que le commutateur se mette à envoyer les trames sur tous les ports, y compris à cet attaquant, qui pourra ainsi écouter des échanges qui ne le concernent pas. Il se peut en effet que les adresses légitimes soient expulsées de la table d'apprentissage quand celle-ci sature, ou que de nouvelles adresses légitimes ne puissent plus être apprises.

Contre-mesuresModifier

Les mesures suivantes visent à empêcher les attaques par saturation de la table d'apprentissage :

  • Les fabricants de commutateurs peuvent fournir une fonctionnalité souvent appelée « sécurité de port » (port security), et qui consiste à limiter le nombre d'adresses qui peuvent être apprises sur les ports connectés aux ordinateurs[2].
  • Les adresses MAC apprises par le commutateur peuvent être vérifiées sur un serveur AAA d'authentification centralisée.

Articles connexesModifier

  • ARP spoofing, une autre technique de couche 2 qui permet d'écouter des trames dont on n'est pas le destinataire.

Notes et référencesModifier

  1. (en) CISCO, " VLAN Security White Paper (Cisco Catalyst 6500 Series Switches)
  2. (en) Linksys, Business Series Smart Gigabit Ethernet Switch User Guide, page 22, 2007