W jaki sposób oprogramowanie do wykrywania sieci działa na przełączniku?

Mamy kilka standardowych niezarządzanych przełączników 3com w sieci. Myślałem, że przełączniki powinny wysyłać tylko pakiety między równorzędnymi połączeniami.

Wydaje się jednak, że oprogramowanie do wykrywania sieci działające na komputerze podłączonym do jednego z przełączników jest w stanie wykryć ruch (tj. Przesyłanie strumieniowe wideo z serwisu YouTube, strony internetowe) innych komputerów hosta podłączonych do innych przełączników w sieci.

Czy to w ogóle możliwe, czy sieć jest całkowicie zepsuta?

Aby zakończyć odpowiedź Davida, przełącznik uczy się, kto stoi za portem, patrząc na adresy MAC pakietów odebranych na tym porcie. Gdy przełącznik jest włączony, nic nie wie. Gdy urządzenie A wyśle ​​pakiet z portu 1 do urządzenia B, przełącznik uczy się, że urządzenie A znajduje się za portem 1 i wysyła pakiet do wszystkich portów. Gdy urządzenie B odpowie na A z portu 2, przełącznik wysyła pakiet tylko przez port 1.

Ta relacja MAC do portu jest przechowywana w tabeli w przełączniku. Oczywiście wiele urządzeń może znajdować się za jednym portem (jeśli na przykład do portu jest podłączony przełącznik), więc wiele adresów MAC może być powiązanych z jednym portem.

Ten algorytm psuje się, gdy tabela nie jest wystarczająco duża, aby zapisać wszystkie relacje (za mało pamięci w przełączniku). W takim przypadku przełącznik traci informacje i zaczyna wysyłać pakiety do wszystkich portów. Można to łatwo zrobić (teraz wiesz, jak włamać się do sieci), fałszując wiele pakietów z innym adresem MAC z jednego portu. Można to również zrobić poprzez sfałszowanie pakietu z adresem MAC urządzenia, które chcesz szpiegować, a przełącznik rozpocznie wysyłanie ruchu do tego urządzenia.

Zarządzane przełączniki można skonfigurować tak, aby akceptowały pojedynczy adres MAC z portu (lub stałej liczby). Jeśli na tym porcie znaleziono więcej adresów MAC, przełącznik może zamknąć port w celu ochrony sieci lub wysłać komunikat dziennika do administratora.

EDYTOWAĆ:

Jeśli chodzi o ruch w YouTube, wyżej opisany algorytm działa tylko na ruchu emisji pojedynczej. Transmisja Ethernet (na przykład ARP) i multiemisja IP (czasami używana do przesyłania strumieniowego) są obsługiwane w różny sposób. Nie wiem, czy youtube używa multiemisji, ale może to być przypadek, w którym możesz wąchać ruch, który nie należy do ciebie.

W przypadku ruchu na stronach internetowych jest to dziwne, ponieważ uścisk dłoni TCP powinien poprawnie ustawić tablicę portów na MAC. Albo topologia sieci kaskaduje wiele bardzo tanich przełączników z małymi tabelami, które są zawsze pełne, albo ktoś ma problemy z siecią.

Jest to powszechne nieporozumienie. O ile nie jest skonfigurowany statycznie, przełącznik musi wysyłać każdy pakiet przez każdy port, na którym nie może udowodnić, że nie musi wysyłać tego pakietu.

Może to oznaczać, że pakiet jest wysyłany tylko do portu zawierającego urządzenie docelowe. Ale nie zawsze tak może być. Weźmy na przykład pierwszy pakiet otrzymany przez przełącznik. Skąd może wiedzieć, na którym porcie wysyłać?

Tłumienie wysyłania pakietów przez „zły” port to optymalizacja, której używa przełącznik, gdy może. To nie jest funkcja bezpieczeństwa. Zarządzane przełączniki często zapewniają rzeczywiste bezpieczeństwo portów.

Możliwe jest zatrucie pamięci podręcznej ARP. Jest to technika wykorzystywana, często złośliwie, do wąchania przełączanej sieci. Odbywa się to poprzez przekonanie każdego komputera w sieci, że każdy inny komputer ma adres MAC (przy użyciu protokołu ARP). Spowoduje to, że przełącznik przekaże wszystkie pakiety do twojego komputera - będziesz chciał przekazać je dalej po analizie. Jest to powszechnie stosowane w atakach typu man-the-the-middle i jest dostępne w różnych narzędziach wąchania, takich jak Cain & Abel lub ettercap.