W jaki sposób oprogramowanie do wykrywania sieci działa na przełączniku?

18

Mamy kilka standardowych niezarządzanych przełączników 3com w sieci. Myślałem, że przełączniki powinny wysyłać tylko pakiety między równorzędnymi połączeniami.

Wydaje się jednak, że oprogramowanie do wykrywania sieci działające na komputerze podłączonym do jednego z przełączników jest w stanie wykryć ruch (tj. Przesyłanie strumieniowe wideo z serwisu YouTube, strony internetowe) innych komputerów hosta podłączonych do innych przełączników w sieci.

Czy to w ogóle możliwe, czy sieć jest całkowicie zepsuta?

networking switch packet-sniffer Can Kavaklıoğlu
źródło
1
Być może musisz spojrzeć na ten post: serverfault.com/questions/214881/ethernet-network-topology
Khaled
Moje doświadczenie sugeruje sytuację bardziej podobną do tej w odpowiedzi Davida. Wygląda na to, że komputer podsłuchujący odbiera nie niektóre, ale wszystkie pakiety, ale wszystkie inne komputery transmitują.
Can Kavaklıoğlu
Czy jesteś pewien, że nie widzisz tylko ruchu rozgłoszeniowego w oprogramowaniu do wykrywania? To, że coś widzisz, nie oznacza, że ​​wszystko widzisz.
Jed Daniels

Odpowiedzi:

22

Aby zakończyć odpowiedź Davida, przełącznik uczy się, kto stoi za portem, patrząc na adresy MAC pakietów odebranych na tym porcie. Gdy przełącznik jest włączony, nic nie wie. Gdy urządzenie A wyśle ​​pakiet z portu 1 do urządzenia B, przełącznik uczy się, że urządzenie A znajduje się za portem 1 i wysyła pakiet do wszystkich portów. Gdy urządzenie B odpowie na A z portu 2, przełącznik wysyła pakiet tylko przez port 1.

Ta relacja MAC do portu jest przechowywana w tabeli w przełączniku. Oczywiście wiele urządzeń może znajdować się za jednym portem (jeśli na przykład do portu jest podłączony przełącznik), więc wiele adresów MAC może być powiązanych z jednym portem.

Ten algorytm psuje się, gdy tabela nie jest wystarczająco duża, aby zapisać wszystkie relacje (za mało pamięci w przełączniku). W takim przypadku przełącznik traci informacje i zaczyna wysyłać pakiety do wszystkich portów. Można to łatwo zrobić (teraz wiesz, jak włamać się do sieci), fałszując wiele pakietów z innym adresem MAC z jednego portu. Można to również zrobić poprzez sfałszowanie pakietu z adresem MAC urządzenia, które chcesz szpiegować, a przełącznik rozpocznie wysyłanie ruchu do tego urządzenia.

Zarządzane przełączniki można skonfigurować tak, aby akceptowały pojedynczy adres MAC z portu (lub stałej liczby). Jeśli na tym porcie znaleziono więcej adresów MAC, przełącznik może zamknąć port w celu ochrony sieci lub wysłać komunikat dziennika do administratora.

EDYTOWAĆ:

Jeśli chodzi o ruch w YouTube, wyżej opisany algorytm działa tylko na ruchu emisji pojedynczej. Transmisja Ethernet (na przykład ARP) i multiemisja IP (czasami używana do przesyłania strumieniowego) są obsługiwane w różny sposób. Nie wiem, czy youtube używa multiemisji, ale może to być przypadek, w którym możesz wąchać ruch, który nie należy do ciebie.

W przypadku ruchu na stronach internetowych jest to dziwne, ponieważ uścisk dłoni TCP powinien poprawnie ustawić tablicę portów na MAC. Albo topologia sieci kaskaduje wiele bardzo tanich przełączników z małymi tabelami, które są zawsze pełne, albo ktoś ma problemy z siecią.

jfg956
źródło
Spróbuję nauczyć się modeli przełączników i zdam raport. Czy sprawcą może być tani przełącznik znajdujący się na szczycie topologii sieci? Myślę, że w tym przypadku staje się to jeszcze bardziej skomplikowane. Jaka byłaby polityka przełącznika, gdyby pakiet, który nie należy do żadnego z jego portów, przybył z taniego przełącznika znajdującego się nad sobą w topologii?
Can Kavaklıoğlu
Jeśli pakiet dotrze do przełącznika, a docelowy adres MAC tego pakietu nie jest znany, pakiet jest wysyłany do wszystkich portów (nawet jeśli przełącznik jest zarządzany lub niezarządzany, a fakt, że pakiet pochodzi z przełącznika lub urządzenie nie jest ważne). Dodatkowo tabela jest aktualizowana o źródłowy adres MAC pakietu, co doprowadzi do wielu możliwości: nie ma problemu z aktualizacją, tabela jest pełna, a dodanie usuwa prawidłowy wpis lub aktualizacja usuwa prawidłową relację MAC do portu . Ostatnie 2 przypadki prowadzą do problemów w sieci.
jfg956
6

Jest to powszechne nieporozumienie. O ile nie jest skonfigurowany statycznie, przełącznik musi wysyłać każdy pakiet przez każdy port, na którym nie może udowodnić, że nie musi wysyłać tego pakietu.

Może to oznaczać, że pakiet jest wysyłany tylko do portu zawierającego urządzenie docelowe. Ale nie zawsze tak może być. Weźmy na przykład pierwszy pakiet otrzymany przez przełącznik. Skąd może wiedzieć, na którym porcie wysyłać?

Tłumienie wysyłania pakietów przez „zły” port to optymalizacja, której używa przełącznik, gdy może. To nie jest funkcja bezpieczeństwa. Zarządzane przełączniki często zapewniają rzeczywiste bezpieczeństwo portów.

David Schwartz
źródło
4
Wyrażenie, którego szukasz, to „zalewanie ramek do nieznanych miejsc docelowych”.
Evan Anderson
0

Możliwe jest zatrucie pamięci podręcznej ARP. Jest to technika wykorzystywana, często złośliwie, do wąchania przełączanej sieci. Odbywa się to poprzez przekonanie każdego komputera w sieci, że każdy inny komputer ma adres MAC (przy użyciu protokołu ARP). Spowoduje to, że przełącznik przekaże wszystkie pakiety do twojego komputera - będziesz chciał przekazać je dalej po analizie. Jest to powszechnie stosowane w atakach typu man-the-the-middle i jest dostępne w różnych narzędziach wąchania, takich jak Cain & Abel lub ettercap.

lutzky
źródło