Ein MAC Address Table Overflow (auch CAM Table Overflow oder MAC Flooding) ist ein Layer-2-Angriff, bei dem ein Angreifer massenhaft gefälschte Quell-MAC-Adressen sendet. Ziel ist, die MAC-Tabelle des Switches zu füllen, sodass der Switch unbekannte Unicasts nicht mehr gezielt weiterleiten kann und stattdessen floodet. Das erleichtert das Mitschneiden von Traffic (Sniffing) und kann gleichzeitig Performance-Probleme bis hin zu Ausfällen verursachen. Mit den richtigen Checks erkennst du solche Ereignisse schnell und kannst sie auf Cisco Switches effektiv abwehren.
Was passiert bei einem MAC Table Overflow?
Ein Switch lernt Quell-MAC-Adressen pro VLAN und Port. Ist die Tabelle voll oder instabil, werden unbekannte Unicasts wie Broadcasts behandelt und an viele Ports gefloodet. Dadurch steigt Traffic-Last, und sensible Daten können leichter abgegriffen werden.
- MAC-Tabelle füllt sich sehr schnell (viele neue MACs in kurzer Zeit)
- Unknown-Unicast Flooding steigt deutlich an
- Performance-Probleme: CPU/ASIC-Last, Drops, Latenz
- Mitlauschen wird einfacher, weil mehr Traffic an Ports ankommt
Typische Symptome: Woran du einen MAC Flood erkennst
In der Praxis wirkt es zunächst wie „Netz ist langsam“ oder „sporadische Paketverluste“. Technisch fallen ungewöhnlich viele MAC-Learn-Events, erhöhte Unknown-Unicast Raten und ggf. MAC-Flapping auf.
- Viele dynamische MACs auf einem einzelnen Access-Port
- Unknown Unicast Counters/Rate auf mehreren Ports hoch
- MAC-Flapping Meldungen (MAC bewegt sich schnell zwischen Ports)
- Hohe CPU-Last bei gleichzeitig vielen L2-Events
Sofortchecks (CLI)
show mac address-table count
show mac address-table dynamic
show interfaces counters errors
show processes cpu sorted
show logging | include MAC|FLAP|CAM|TABLE
Angriff vs. Betrieb: Häufige Verwechslungen
Nicht jede hohe MAC-Anzahl ist ein Angriff. Typische legitime Ursachen sind Hypervisor-Hosts, Access Points, IP-Telefone mit PC dahinter oder Uplinks zu anderen Switches. Entscheidend ist: Entsteht die MAC-Flut am Edge-Port und ist sie zeitlich „explosiv“?
- Legitim: Hypervisor/Server-Trunk (viele VM-MACs), AP-Trunk
- Legitim: Uplink/Trunk sammelt viele MACs aus einem VLAN
- Verdächtig: Ein einzelner Client-Port lernt hunderte MACs in Sekunden
- Verdächtig: Unknown-Unicast Flooding steigt plötzlich stark an
Den Ursprung finden: Welcher Port lernt die MACs?
Der schnellste Weg ist, die MAC-Tabelle nach Interface zu filtern und zu prüfen, wo ungewöhnlich viele MACs auftauchen. Danach isolierst du den Port.
MACs pro Interface prüfen
show mac address-table interface gigabitEthernet 1/0/10
show mac address-table dynamic interface gigabitEthernet 1/0/10
Wenn du das VLAN kennst
show mac address-table dynamic vlan 10
Sofortmaßnahmen: Angriff eindämmen, ohne das ganze Netz zu gefährden
Wenn du einen verdächtigen Edge-Port identifiziert hast, ist die schnellste Maßnahme, den Port zu isolieren. Danach setzt du Schutzmechanismen, damit das Problem nicht wiederkehrt.
Verdächtigen Port temporär deaktivieren
configure terminal
interface gigabitEthernet 1/0/10
shutdown
end
Unknown-Unicast Storm begrenzen (Notanker)
configure terminal
interface gigabitEthernet 1/0/10
storm-control unicast level 2.00 1.00
end
Abwehr 1: Port Security mit MAC-Limits (wirksam am Access)
Port Security ist die klassische Gegenmaßnahme gegen MAC Flooding am Edge. Setze ein realistisches Maximum (z. B. 1 für Client, 2 für Phone+PC) und wähle einen Violation Mode, der zu deinem Betrieb passt.
Client-Port: Maximum 1 MAC
configure terminal
interface gigabitEthernet 1/0/10
description EDGE-CLIENT
switchport mode access
switchport access vlan 10
switchport port-security
switchport port-security maximum 1
switchport port-security violation restrict
spanning-tree portfast
spanning-tree bpduguard enable
end
Voice+PC Port: Maximum 2 MACs
configure terminal
interface gigabitEthernet 1/0/15
description VOICE+PC
switchport mode access
switchport access vlan 10
switchport voice vlan 20
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrict
end
Sticky MAC (optional)
configure terminal
interface gigabitEthernet 1/0/10
switchport port-security mac-address sticky
end
copy running-config startup-config
Abwehr 2: Storm Control für Broadcast/Multicast/Unknown-Unicast
Storm Control begrenzt Flooding-Last und reduziert den Impact eines Angriffs. Es verhindert nicht jeden MAC Flood, aber es schützt die Infrastruktur und angrenzende Segmente.
Edge-Port-Template (Storm Control)
configure terminal
interface gigabitEthernet 1/0/10
storm-control broadcast level 1.00 0.50
storm-control multicast level 2.00 1.00
storm-control unicast level 2.00 1.00
end
Abwehr 3: 802.1X/MAB als Zugangskontrolle (besser als reine MAC-Logik)
MAC Flooding ist leichter, wenn jeder Port „offen“ ist. 802.1X reduziert das Risiko, indem nur authentifizierte Geräte den Port nutzen dürfen. Für Non-802.1X Geräte ergänzt du MAB und restriktive VLAN/ACL-Policies.
Port-Control (Konzeptbeispiel)
configure terminal
interface gigabitEthernet 1/0/10
authentication port-control auto
authentication order dot1x mab
authentication priority dot1x mab
mab
end
Monitoring und Nachweis: Wie du MAC Flooding im Betrieb erkennst
Du brauchst Sichtbarkeit: ungewöhnliche MAC-Anstiege, Violations, Storm-Control Events und Unknown-Unicast Peaks. Sammle diese Indikatoren zentral (Syslog/SNMPv3).
Port Security und Violation Events prüfen
show port-security
show port-security interface gigabitEthernet 1/0/10
show logging | include PORT_SECURITY|VIOLATION
Storm-Control Events prüfen
show storm-control interface gigabitEthernet 1/0/10
show logging | include STORM|storm-control
MAC-Table Wachstum beobachten
show mac address-table count
show mac address-table dynamic
Best Practices: So verhinderst du MAC Table Overflows nachhaltig
Die effektivste Abwehr ist ein konsistentes Edge-Design: Ports nicht offen lassen, MAC-Limits setzen, Floods begrenzen und „Sonderports“ (AP/Hypervisor) bewusst behandeln.
- Port Security mit realistischen MAC-Limits auf Access-Ports
- Storm Control auf Edge-Ports, insbesondere Unknown-Unicast
- 802.1X/MAB für kontrollierten Zugang statt „offener Ports“
- AP-/Hypervisor-Ports als Sonderfälle dokumentieren (Trunk, hohe MAC-Anzahl erwartet)
- Unbenutzte Ports parken und shutdown
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
