Mitigación de ataques por saturación de tabla de direcciones MAC

El método más simple y eficaz de evitar ataques por saturación de la tabla de direcciones MAC es habilitar la seguridad de puertos.

La seguridad de puertos permite que un administrador especifique direcciones MAC estáticas para un puerto, o permite que el switch obtenga dinámicamente una cantidad limitada de direcciones MAC. Al limitar a uno la cantidad de direcciones MAC permitidas en un puerto, la seguridad de puertos se puede usar para controlar la expansión no autorizada de la red, como se muestra en la figura.

Cuando se asignan direcciones MAC a un puerto seguro, dicho puerto solo reenvía tramas con direcciones MAC de origen del grupo de direcciones definidas. Cuando un puerto configurado con seguridad de puertos recibe una trama, se compara la dirección MAC de origen de la trama con la lista de direcciones de origen seguras que se configuró manualmente o se detectó automáticamente en el puerto.

Si se configura un puerto como seguro y se alcanza la cantidad máxima de direcciones MAC, cualquier intento adicional de conexión de las direcciones MAC desconocidas genera una violación de seguridad. La figura resume estos puntos.