Das Programm macof ist ein Flodder. Das Programm befindet sich auf der GRML und auf der Backtrack Live CD. Unter Ubuntu läßt es sich schnell mit apt-get nachinstallieren. Macof flutet ein geswitchtes LAN mit Paketen, die zufällige MAC-Adressen beinhalten. Doch warum wird so etwas gemacht? Das Fluten mit Paketen dieser Art dient keinem DOS Angriff. Vielmehr möchte der Angreifer erreichen, dass die MAC-Tabelle auf dem Switch volläuft. Damit wird erreicht, dass ein Switch sofort als ein Multiport-Repeater arbeitet und alle Pakete, wie ein gewöhnliches Hub, zu allen Rechner weiterleitet. Im Standard steht dieses Verhalten festgeschrieben, jedoch regieren nicht alle Geräte gleich. Besonders, wenn das Switch Sicherheitsfunktionen besitzt, wie alle professionellen Cisco Switches, wird dem Angreifer schnell ein Shutdown des Ports beschert. Es gibt auch IDS Systeme, die einen Flood erkennen und entsprechend Alarm schlagen.
Gut, der Angreifer hat erfolgreich das Switch geflutet und kann nun für eine gewisse Zeit den ganzen Traffic im LAN lesen. Mit Wireshark geht das für gewöhnlich im ganz gut. Stoppt das Fluten, so wird das Switch nach einer gewissen Zeit seine Tabelle aufräumen und schon ist der Zauber wieder vorbei. Somit muss der Angreifer über den ganzen Zeitraum seine Aktivitäten das Switch damit fluten. Ist das Gateway des Subnetzes bekannt und soll entsprechend der dort auslaufende Traffic abgehört werden, ist es sinnvoll das Gateway zu spoofen, um die Pakete dann durch seinen eigenen Rechner umzuleiten und anschließend zum echten Gateway.
Mit dem macof Parameter -i bestimmt der Angreifer das Netzwerk-Interface, woraus die gespooften Mac-Frame herauswandern sollen. Mit -s übergibt der die Quell-IP-Adresse, die das Paket beinhalten soll. Mit -d nun die Ziel IP Adresse. Diese kann existieren, muss aber nicht. Genauso, wie die Quell-IP. Mit -e wird die Mac-Adresse bestimmt. -x gibt das TCP Sourceport an und -y das TCP Destinationport. Das Wichtigste ist -n, welches die Anzahl der zu sendenden Pakete bestimmt.