L2 공격

MAC 플러딩은 스위치의 학습 테이블을 압박한다

공격자가 대량의 가짜 출발지 MAC을 보내면 스위치의 MAC 테이블이 흔들리고, 일부 unknown unicast가 여러 포트로 퍼질 수 있다.

가짜 출발지 MAC을 빠르게 주입해 테이블 용량 압박

장비 동작에 따라 unknown unicast flooding 위험

포트 보안은 한 포트에서 학습 가능한 MAC 수를 제한

공격 흐름

Fake source MAC 주입

ATKAttacker수천 개의 가짜 출발지 MAC 생성

→

SWSwitch각 MAC을 공격자 포트에서 학습 시도

00:11:22:10:00:01P1

00:11:22:10:00:02P1

00:11:22:10:00:03P1

... fake MAC overflow ...P3

영향

?목적지 MAC 미학습테이블에서 목적지 포트를 찾지 못함

→

⇢여러 포트로 플러딩공격자가 일부 트래픽을 볼 가능성

shutdown포트 차단

위반 시 포트를 내려 가장 강하게 막는다.

restrict폐기 + 알림

위반 프레임을 버리고 로그나 SNMP 알림을 남긴다.

protect조용히 폐기

위반 프레임만 버리며 알림은 제한적이다.

운영 포인트: 사용자 액세스 포트는 최대 MAC 수, sticky MAC, 에이징, 위반 모드를 함께 설계해야 한다. 트렁크나 가상화 호스트 포트에는 같은 기준을 기계적으로 적용하면 장애가 날 수 있다.