一、Mac 洪泛攻擊原理

交換機依靠 MAC 地址表來實現數據幀的精準轉發，該表記錄著端口與相連主機 MAC 地址的對應關系。交換機具備自動學習機制，當收到一個數據幀時，會將幀中的源 MAC 地址與進入的端口號記錄到 MAC 表中。同時，由于交換機的緩存有限，MAC 表能保存的條目數量也有限，并且具有老化機制，即長時間未使用的 MAC 地址表項會被刪除。

Mac 洪泛攻擊正是利用了交換機的這些特性。攻擊者通過工具（如 macof）發送海量偽造的以太網幀，每個幀都使用不同的源 MAC 地址。交換機不斷學習這些偽造的 MAC 地址，致使 MAC 地址表迅速被填滿，無法再學習新的合法 MAC 地址。此時，交換機對于那些事先未在 MAC 地址表中留下記錄的主機之間的數據通信，就只能采用廣播的方式進行轉發，這使得攻擊者能夠借此監聽網絡中傳輸的所有數據。

例如，假設局域網中有主機 A、B、C，正常情況下交換機根據 MAC 地址表精準轉發數據幀。但攻擊者發動 Mac 洪泛攻擊后，交換機 MAC 表被偽造的 MAC 地址占滿，當主機 A 向主機 B 發送數據時，由于主機 B 的 MAC 地址可能因老化或無法學習而不在 MAC 表中，交換機就會將該數據幀廣播給局域網內的所有主機，包括攻擊者的主機，攻擊者從而有機會獲取到這些數據。

macof 命令

macof 是實施 Mac 洪泛攻擊的常用工具，通常作為 dsniff 套件的一部分存在于 Kali Linux 系統中。在攻擊時，只需在 Kali 終端中直接執行 “macof” 命令，它便會開始向交換機發送大量偽造 MAC 地址的數據包。由于交換機的 MAC 地址表空間有限，在短時間內接收到如此多來自不同偽造 MAC 地址的數據包后，其 MAC 地址表會迅速被占滿。例如，在一個小型局域網實驗環境中，執行 “macof” 命令后，短短幾分鐘內交換機的 MAC 地址表就被填滿，導致正常主機之間的通信數據開始以廣播形式傳輸。有時，為了加快攻擊效果，對于一些 MAC 地址表容量較大的交換機，可能需要打開多個命令行界面，同時執行 “macof” 命令。

Mac 洪泛攻擊的影響

1. 網絡性能下降：大量的數據廣播會顯著增加網絡中的流量，導致網絡擁塞和延遲。正常用戶的網絡請求響應時間變長，例如網頁加載緩慢、文件傳輸速度大幅降低，甚至可能出現連接超時等情況，嚴重影響網絡的正常使用。

2. 信息泄露風險：攻擊者能夠利用廣播特性監聽網絡中傳輸的所有數據，對于未加密的通信數據，如 FTP、Telnet 等協議傳輸的賬號密碼、文件內容，以及 HTTP 協議傳輸的網頁表單數據等，攻擊者都可以輕松獲取，從而造成用戶信息泄露，可能引發一系列安全問題，如賬號被盜用、敏感數據被竊取利用等。

3. 網絡服務中斷：在極端情況下，嚴重的網絡擁塞可能導致網絡服務中斷，整個局域網內的主機無法正常訪問外部網絡資源，企業的業務系統無法正常運行，影響正常的生產經營活動。