Che tipo di attacco di rete trasforma uno switch in un hub?

Ho letto oggi un articolo che descrive come un tester di penetrazione è stato in grado di dimostrare la creazione di un conto bancario falso con un saldo di $ 14 milioni. Tuttavia, spicca un paragrafo che descrive l'attacco:

Quindi ha "allagato" switch - piccoli box che dirigono il traffico di dati - per sopraffare i dati della rete interna della banca. Questo tipo di attacco trasforma l'interruttore in un "hub" che trasmette i dati indiscriminatamente.

Non ho familiarità con l'effetto descritto. È davvero possibile forzare uno switch per trasmettere il traffico a tutti i suoi porti inviando enormi quantità di traffico? Cosa sta succedendo esattamente in questa situazione?

switch security

— Lucas
fonte

Alcuni altri dettagli a questo post / risposta: serverfault.com/questions/345670/… .

— jfg956,

Risposte:

Questo si chiama flooding MAC . Un "indirizzo MAC" è un indirizzo hardware Ethernet. Uno switch mantiene una tabella CAM che mappa gli indirizzi MAC alle porte.

Se uno switch deve inviare un pacchetto a un indirizzo MAC non presente nella sua tabella CAM, lo inonda a tutte le porte proprio come fa un hub. Pertanto, se si inonda uno switch con un numero maggiore di indirizzi MAC, forzerai le voci di indirizzi MAC legittimi fuori dalla tabella CAM e il loro traffico verrà inoltrato a tutte le porte.

— David Schwartz
fonte

Lo switch fa qualcosa per impedirlo o limitarlo?

— TheLQ

In genere no, ma non è il suo lavoro. Il compito di uno switch è facilitare la comunicazione tra nodi in una LAN, non implementare una politica di sicurezza o filtrare le informazioni. I commutatori lo fanno per caso come conseguenza di rendere le cose più veloci e le persone, stupidamente, sono arrivate a pensare a questo come sicurezza. (La stessa cosa accade con NAT.) La sicurezza fornita "accidentalmente" come conseguenza di fare qualcos'altro non dovrebbe mai essere considerata una vera sicurezza. Esistono switch gestiti e sicuri che forniscono sicurezza, così come esistono implementazioni NAT che includono anche firewall effettivi.

— David Schwartz,

Questo si chiama flooding MAC e sfrutta il fatto che le tabelle degli switch CAM hanno una lunghezza limitata. Se traboccano, uno switch si trasforma in un hub e invia ogni pacchetto a ogni porta, il che può rapidamente arrestare una rete.

Modificato per correggere la terminologia errata.

— Sven
fonte

SvW probabilmente significava la tabella degli indirizzi MAC, che mappa gli indirizzi MAC alle porte fisiche. La maggior parte degli switch alloca una quantità limitata di memoria per questo, e può essere facilmente esaurita da un attaccante che invia frame da indirizzi MAC casualmente falsificati. Ciò farebbe in modo che lo switch inviasse i frame a tutte le porte per qualsiasi indirizzo MAC di destinazione non già presente nella tabella. Fortunatamente, questo può essere mitigato limitando il numero di MAC che possono apparire su una determinata porta.

— James Sneeringer,

Giusto concetto, terminologia sbagliata ... Abbastanza vicino per un +1 da parte mia.

— Chris S,

@ Chris: Questo era già nella domanda. Tutto ciò che la risposta aggiunta era errata.

— David Schwartz,

@DavidSchwartz: Beh, ho modificato due parole in cui ovviamente ho confuso la terminologia e ora la risposta è del tutto corretta. Francamente, sarebbe stata una grande opportunità per usare tu stesso la funzione di modifica del sito. Invece, le persone (non necessariamente tu) lo usano per sostituire "il" con "il" in un post di 2 anni ...

— Sven

@SvW: Non pensavo fosse ovvio che hai appena usato una terminologia sbagliata, che gli switch hanno qualcosa a che fare con l'ARP è in realtà un malinteso funzionale molto comune. Non ritengo appropriato usare "modifica" per cambiare completamente la risposta di qualcun altro, anche da errato a corretto. (Forse è una cattiva politica da parte mia. Cercherò in giro su meta e vedrò se sono fuori dal mainstream in quella prospettiva.)

— David Schwartz

Come è stato spiegato sopra, la tabella MAC dello switch è "avvelenata" con indirizzi mac falsi. Questo è facile da fare con il macofprogramma dalla dsniffsuite di strumenti. Avvertenza: provalo solo a scopo educativo nella tua rete, altrimenti potresti avere gravi problemi legali!

http://www.monkey.org/~dugsong/dsniff/

— Floyd
fonte