Jakiego rodzaju atak sieciowy zamienia przełącznik w koncentrator?

35

Przeczytałem dzisiaj artykuł opisujący, jak tester penetracyjny był w stanie wykazać utworzenie fałszywego konta bankowego z saldem w wysokości 14 milionów dolarów. Jednak jeden akapit opisujący atak wyróżniał się:

Następnie „zalał” przełączniki - małe skrzynki, które kierują ruchem danych - aby przytłoczyć wewnętrzną sieć banku danymi. Tego rodzaju atak zamienia przełącznik w „hub”, który rozsyła dane bez rozróżnienia.

Nie znam opisanego efektu. Czy naprawdę można zmusić przełącznik do rozgłaszania ruchu do wszystkich jego portów, wysyłając ogromne ilości ruchu? Co dokładnie dzieje się w tej sytuacji?

Lucas
źródło
Kilka innych szczegółów w tym poście / odpowiedź: serverfault.com/questions/345670/… .
jfg956

Odpowiedzi:

62

Nazywa się to zalewaniem MAC . „Adres MAC” to adres sprzętowy Ethernet. Przełącznik utrzymuje tablicę CAM, która mapuje adresy MAC na porty.

Jeśli przełącznik musi wysłać pakiet na adres MAC, którego nie ma w tabeli CAM, zalewa go do wszystkich portów, tak jak robi to koncentrator. Jeśli więc zalujesz przełącznik większą liczbą adresów MAC, wymusisz wpisanie prawidłowych adresów MAC z tabeli CAM, a ich ruch zostanie zalany do wszystkich portów.

David Schwartz
źródło
2
Czy przełącznik robi coś, aby temu zapobiec lub ograniczyć?
TheLQ
17
Zazwyczaj nie, ale to nie jest jego praca. Zadaniem przełącznika jest ułatwienie komunikacji między węzłami w sieci LAN, a nie wdrażanie zasad bezpieczeństwa lub informacji o filtrach. Przełączniki robią to przypadkowo w wyniku przyspieszenia działania, a ludzie niemądrze zaczęli myśleć o tym jako o bezpieczeństwie. (To samo dzieje się z NAT.) Bezpieczeństwo zapewnione „przypadkowo” w wyniku zrobienia czegoś innego nigdy nie powinno być uważane za prawdziwe bezpieczeństwo. Istnieją bezpieczne, zarządzane przełączniki, które zapewniają bezpieczeństwo, podobnie jak implementacje NAT, które obejmują również rzeczywiste zapory ogniowe.
David Schwartz
8

Nazywa się to zalewaniem MAC i wykorzystuje fakt, że tabele CAM przełączników mają ograniczoną długość. Jeśli się przepełnią, przełącznik zamienia się w koncentrator i wysyła każdy pakiet do każdego portu, co szybko może zatrzymać sieć.

Edytowane w celu poprawienia złej terminologii.

Sven
źródło
1
SvW prawdopodobnie oznaczało tablicę adresów MAC, która mapuje adresy MAC na porty fizyczne. Większość przełączników przydziela do tego ograniczoną ilość pamięci i może być łatwo wyczerpana przez atakującego wysyłającego ramki z przypadkowo sfałszowanych adresów MAC. Spowodowałoby to przełączenie do zalewania ramek do wszystkich portów dla dowolnego docelowego adresu MAC, którego nie ma jeszcze w tabeli. Na szczęście można to złagodzić, ograniczając liczbę adresów MAC, które mogą pojawić się na danym porcie.
James Sneeringer
Właściwa koncepcja, niewłaściwa terminologia ... Wystarczająco blisko, by dać +1 ode mnie.
Chris S
@ChrisS: To już było pytanie. Cała dodana odpowiedź była niepoprawna.
David Schwartz
1
@DavidSchwartz: Cóż, zredagowałem dwa słowa, w których oczywiście pomieszałem terminologię, a teraz odpowiedź jest całkowicie poprawna. Szczerze mówiąc, byłaby to świetna okazja do skorzystania z funkcji edycji witryny. Zamiast tego ludzie (niekoniecznie ty) używają go, aby zamienić „teh” na „the” w 2-letnim poście ...
Sven
@SvW: Nie sądziłem, że to oczywiste, że użyłeś niewłaściwej terminologii, że przełączniki mają coś wspólnego z ARP, co jest bardzo częstym nieporozumieniem funkcjonalnym. Nie uważam za stosowne używać polecenia „edytuj”, aby całkowicie zmienić czyjąś odpowiedź, nawet z nieprawidłowej na poprawną. (Może to z mojej strony zła polityka. Przeszukam meta i zobaczę, czy nie jestem w tym nurcie głównego nurtu.)
David Schwartz
0

Jak wyjaśniono powyżej, tablica MAC przełącznika jest „zatruta” fałszywymi adresami mac. Jest to łatwe do zrobienia dzięki macofprogramowi z dsniffpakietu narzędzi. Ostrzeżenie: spróbuj tego tylko w celach edukacyjnych we własnej sieci, w przeciwnym razie wpadniesz w poważne kłopoty prawne!

http://www.monkey.org/~dugsong/dsniff/

Floyd
źródło