No trecho de captura de tráfego, em tela, há indícios de que...
![Imagem 013.jpg](https://s3.amazonaws.com/qcon-assets-production/images/provas/11212/Imagem 013.jpg)
(Seguem-se 246 linhas semelhantes até o endereço 10.0.0.255 ser atingido.)
Considerando o trecho de captura de tráfego acima, realizada em uma das portas ethernet de um switch camada 3 que interliga uma rede
local a um backbone, julgue os itens que se seguem.
MAC Flooding: o switch é inundado por pacotes que contêm diferentes destinos de endereço MAC com a intenção de consumir sua limitada memória reservada para armazenar a tabela de endereços físicos. Com isso, o equipamento deixa o seu estado normal de funcionamento e passa a trabalhar em um estado chamado modo de falha aberta (failopen mode), ou seja, passa a atuar como um Hub;
Aproveitando que o colega já apresentou a definição abaixo, vou somente esclarecer o motivo da questão estar errada.
Somente está sendo feito um broadcast no range de IPs 0-255. não podemos achar que o atacante seria inocente o suficiente para pensar que 255 MACs iriam causar um flood no switch. Um switch consegue armazenar na sua CAM uma quantidade muito maior que 255 MAC address (entre 1000 e 8000). Se fosse um MAC Flood, o mesmo host (10.0.0.36) estaria enviando vário frames com diferentes MAC Address por meio da mesma porta do switch ao qual ele está ligado. Não é o caso!
Quando o switch estoura a tabela CAM ele poderá: 1- travar, 2 - ignorar a tabela e começar a trabalhar como hub. Nesse momento podemos usar um sniffer (Wireshark) para capturar todo o tráfego da rede.
Excelente Fonte, leiam!
http://www.guiadohardware.net/tutoriais/wireshark/pagina2.html
Esse tráfego parece mais um uma ferramenta de scan tentando buscar endereços válidos ou um worm tentando se propagar.Justifico minha afirmação mostrando um exemplo de um script (retirado daqui e) usado para efetuar o referido ataque com o auxílio da ferramenta MACOF (veja a quantidade de solicitações geradas; veja também as repetições):
# while [ 1 ] ; do macof -d 192.168.1.1 -n 100000 ; sleep 50 ; done Como é que perguntar pro switch vindo do mesmo MAC seria MAC flooding? Teria que ser vários MACs de origem diferentes.
Flood implica em se enviar muitas informações para um único destino, o que não é o caso da questão. O que aconteceu neste caso é que foi enviado ARP request pro endereço de broadcast(ff:ff:ff:ff:ff:ff), fazendo uma varredura dos dispositivos da rede, típico de um ataque de ARP Spoofing(ou ARP-Poisoning). O ARP Spoofing visa enganar o switch se fazendo passar por outro MAC da rede e recebendo todos os pacotes que seriam destinados a ele.