Come funziona il software di sniffing di rete su uno switch?

18

Disponiamo di numerosi switch 3com standard non gestiti in una rete. Pensavo che gli switch avrebbero dovuto inviare pacchetti solo tra peer di una connessione.

Tuttavia, sembra che il software di sniffing della rete in esecuzione su un computer collegato a uno qualsiasi degli switch sia in grado di rilevare il traffico (ad es. Streaming video di YouTube, pagine Web) di altri computer host collegati ad altri switch sulla rete.

È anche possibile o la rete è completamente rotta?

networking  switch  packet-sniffer 
Can Kavaklıoğlu
fonte
1
Forse, devi dare un'occhiata a questo post: serverfault.com/questions/214881/ethernet-network-topology
Khaled
La mia esperienza suggerisce una situazione più simile al caso nella risposta di David. Il computer sniffing sembra non ricevere alcuni ma tutti i pacchetti ma tutti gli altri computer stanno trasmettendo.
Can Kavaklıoğlu,
Sei sicuro di non vedere solo il traffico di trasmissione sul software di sniffing? Solo perché vedi qualcosa, non significa che stai vedendo tutto.
Jed Daniels,

Risposte:

22

Per completare la risposta di David, uno switch scopre chi si trova dietro una porta guardando gli indirizzi MAC dei pacchetti ricevuti su quella porta. Quando l'interruttore è acceso, non sa nulla. Una volta che il dispositivo A invia un pacchetto dalla porta 1 al dispositivo B, lo switch apprende che il dispositivo A è dietro la porta 1 e invia il pacchetto a tutte le porte. Una volta che il dispositivo B risponde ad A dalla porta 2, lo switch invia solo il pacchetto sulla porta 1.

Questa relazione da MAC a porta è memorizzata in una tabella nello switch. Naturalmente, molti dispositivi possono trovarsi dietro una singola porta (se uno switch è collegato alla porta come esempio), quindi potrebbero esserci molti indirizzi MAC associati a una singola porta.

Questo algoritmo si interrompe quando la tabella non è abbastanza grande per memorizzare tutte le relazioni (memoria insufficiente nello switch). In questo caso, lo switch perde informazioni e inizia a inviare pacchetti a tutte le porte. Questo può essere fatto facilmente (ora sai come hackerare la tua rete) forgiando molti pacchetti con MAC diversi da un'unica porta. Può anche essere fatto forgiando un pacchetto con il MAC del dispositivo che si desidera spiare e lo switch inizierà a inviarti il ​​traffico per quel dispositivo.

Gli switch gestiti possono essere configurati per accettare un singolo MAC da una porta (o un numero fisso). Se su quella porta vengono rilevati più MAC, lo switch può arrestare la porta per proteggere la rete o inviare un messaggio di registro all'amministratore.

MODIFICARE:

Per quanto riguarda il traffico di YouTube, l'algoritmo sopra descritto funziona solo sul traffico unicast. La trasmissione Ethernet (ad esempio ARP) e il multicast IP (usato talvolta per lo streaming) sono gestiti in modo diverso. Non so se YouTube utilizza multicast, ma potrebbe essere un caso in cui è possibile annusare il traffico non appartenente a te.

Per quanto riguarda il traffico delle pagine Web, questo è strano, in quanto l'handshake TCP avrebbe dovuto impostare correttamente il MAC sulla tabella delle porte. O la topologia di rete mette in cascata un sacco di switch molto economici con piccoli tavoli che sono sempre pieni, o qualcuno sta facendo casino con la rete.

jfg956
fonte
Proverò a imparare i modelli di switch e a riferire. Il colpevole potrebbe essere uno switch economico situato nella parte superiore della topologia di rete? Immagino che diventi ancora più complicato in quel caso. Quale sarebbe la politica di uno switch se un pacchetto che non appartiene a nessuna delle sue porte arriva dallo switch economico situato sopra se stesso sulla topologia?
Can Kavaklıoğlu,
Se un pacchetto arriva a uno switch e l'indirizzo MAC di destinazione di questo pacchetto non è noto, il pacchetto viene inviato a tutte le porte (anche se lo switch è gestito o non gestito e il fatto che il pacchetto provenga da uno switch o un dispositivo non è importante). Inoltre, la tabella viene aggiornata con l'indirizzo MAC di origine del pacchetto, il che porterà a molte possibilità: nessun problema con l'aggiornamento, la tabella è piena e l'aggiunta elimina una voce valida o l'aggiornamento rimuove una relazione MAC-porta valida . Gli ultimi 2 casi portano a problemi sulla rete.
jfg956,
6

Questo è un malinteso comune. A meno che non sia configurato staticamente, uno switch deve inviare tutti i pacchetti su ogni porta per i quali non può dimostrare di non dover inviare quel pacchetto.

Ciò potrebbe significare che un pacchetto viene inviato solo alla porta che contiene il dispositivo di destinazione. Ma questo non può sempre essere il caso. Ad esempio, si consideri il primo pacchetto ricevuto dallo switch. Come potrebbe sapere su quale porta inviarlo?

La soppressione dei pacchetti dall'invio sulla porta "errata" è un'ottimizzazione che uno switch utilizza quando può. Non è una funzione di sicurezza. Gli switch gestiti forniscono spesso un'effettiva sicurezza delle porte.

David Schwartz
fonte
4
La frase che stai cercando è "inondazioni di cornici verso destinazioni sconosciute".
Evan Anderson,
0

È possibile che l'avvelenamento da cache ARP sia attivo. Questa è una tecnica usata, spesso maliziosamente, per annusare una rete commutata. Questo viene fatto convincendo ogni macchina della rete che ogni altra macchina ha il tuo indirizzo MAC (usando il protocollo ARP). Questo farà sì che lo switch inoltri tutti i pacchetti al tuo computer - ti consigliamo di inoltrarli dopo l'analisi. Questo è comunemente usato negli attacchi man-in-the-middle ed è disponibile in vari strumenti di sniffing come Cain & Abel o ettercap.

Lutzky
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.