Porównaj ceny domen i usług IT, sprzedawców z całego świata

Jak oprogramowanie do wykrywania sieci działa na przełączniku?


W naszej sieci mamy kilka standardowych niezarządzanych przełączników 3com. Pomyślałem, że przełączniki powinny wysyłać pakiety tylko między peerami połączenia.
Wygląda jednak na to, że oprogramowanie do analizy sieci działające na komputerze podłączonym do jednego z przełączników jest w stanie wykryć ruch (np. Przesyłanie strumieniowe filmów z YouTube, strony internetowe) z innych komputerów-hostów podłączonych do innych przełączników w sieci.
Czy to w ogóle możliwe, czy też sieć jest całkowicie zakłócona?
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Aby uzupełnić odpowiedź Davida, przełącznik sprawdza, kto znajduje się za portem, sprawdzając adresy MAC pakietów odebranych przez ten port. Kiedy przełącznik jest włączony, nic nie wie. Gdy tylko urządzenie A wyśle ​​pakiet z portu 1 do urządzenia B, przełącznik wie, że urządzenie A znajduje się za portem 1 i wysyła pakiet do wszystkich portów. Gdy tylko urządzenie B odpowie A z portu 2, przełącznik wysyła pakiet tylko do portu 1.
Relacja między adresem MAC a portem jest przechowywana w tablicy przełączników. Oczywiście za jednym portem może znajdować się wiele urządzeń (na przykład, jeśli do portu jest podłączony przełącznik), więc wiele adresów MAC można powiązać z jednym portem.
Ten algorytm nie działa, gdy tabela nie jest wystarczająco duża, aby pomieścić wszystkie relacje (za mało pamięci w przełączniku). W takim przypadku przełącznik traci informacje i rozpoczyna wysyłanie pakietów do wszystkich portów. Jest to łatwe do zrobienia (teraz wiesz, jak włamać się do sieci), tworząc wiele pakietów z różnymi adresami MAC z tego samego portu. Można to również zrobić, sfałszując pakiet z adresem MAC urządzenia, które chcesz szpiegować, a przełącznik zacznie wysyłać ruch do tego urządzenia.
Przełączniki zarządzane można skonfigurować tak, aby akceptowały jeden adres MAC z portu (lub stałego numeru). Jeśli na tym porcie zostaną znalezione inne adresy MAC, przełącznik może wyłączyć ten port, aby chronić sieć lub wysłać komunikat dziennika do administratora.

EDYTOWAĆ:

Jeśli chodzi o ruch w YouTube, powyższy algorytm działa tylko z ruchem unicast. Emisja Ethernet (taka jak ARP) i multiemisja IP (czasami używana do przesyłania strumieniowego) są obsługiwane inaczej. Nie wiem, czy YouTube używa multiemisji, ale może tak być w przypadku, gdy możesz słuchać ruchu, który nie należy do Ciebie.
Jeśli chodzi o ruch na stronach internetowych, jest to dziwne, ponieważ uzgadnianie TCP miało poprawnie ustawić adres MAC dla tabeli portów. Albo topologia sieci obejmuje wiele bardzo tanich przełączników z małymi tabelkami, które są zawsze pełne, albo ktoś inny bawi się w sieci.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

To powszechne nieporozumienie. Jeśli nie jest skonfigurowany statycznie, przełącznik

musi

wyślij każdą paczkę

wszyscy

port, którego nie może udowodnić, nie powinien wysyłać tego pakietu.
Może to oznaczać, że pakiet jest wysyłany tylko do portu zawierającego urządzenie docelowe. Lecz nie zawsze tak jest. Weźmy na przykład pod uwagę pierwszy pakiet odebrany przez przełącznik. Skąd mógł wiedzieć, do którego portu go wysłać?
Powstrzymanie wysyłania pakietów na „niewłaściwym” porcie to optymalizacja, z której korzysta przełącznik, gdy tylko jest to możliwe. To nie jest funkcja bezpieczeństwa. Zarządzane przełączniki często zapewniają faktyczne bezpieczeństwo portu.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Być może działa zatrucie pamięci podręcznej ARP. Ta technika jest często używana złośliwie do podsłuchiwania sieci komutowanej. Odbywa się to poprzez przekonanie każdej maszyny w sieci, że każda inna maszyna ma Twój adres MAC (przy użyciu protokołu ARP). Zmusi to przełącznik do przekazania wszystkich pakietów do twojego komputera - będziesz chciał je przekazać po analizie. Jest to powszechnie używane w atakach atakujących w środku i jest dostępne w różnych narzędziach do wykrywania, takich jak Cain & amp; Abel lub ettercap.

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się