Jakiego rodzaju atak sieciowy zamienia przełącznik w koncentrator?

Przeczytałem dzisiaj artykuł opisujący, jak tester penetracyjny był w stanie wykazać utworzenie fałszywego konta bankowego z saldem w wysokości 14 milionów dolarów. Jednak jeden akapit opisujący atak wyróżniał się:

Następnie „zalał” przełączniki - małe skrzynki, które kierują ruchem danych - aby przytłoczyć wewnętrzną sieć banku danymi. Tego rodzaju atak zamienia przełącznik w „hub”, który rozsyła dane bez rozróżnienia.

Nie znam opisanego efektu. Czy naprawdę można zmusić przełącznik do rozgłaszania ruchu do wszystkich jego portów, wysyłając ogromne ilości ruchu? Co dokładnie dzieje się w tej sytuacji?

switch security

— Lucas
źródło

Kilka innych szczegółów w tym poście / odpowiedź: serverfault.com/questions/345670/… .

— jfg956

Odpowiedzi:

Nazywa się to zalewaniem MAC . „Adres MAC” to adres sprzętowy Ethernet. Przełącznik utrzymuje tablicę CAM, która mapuje adresy MAC na porty.

Jeśli przełącznik musi wysłać pakiet na adres MAC, którego nie ma w tabeli CAM, zalewa go do wszystkich portów, tak jak robi to koncentrator. Jeśli więc zalujesz przełącznik większą liczbą adresów MAC, wymusisz wpisanie prawidłowych adresów MAC z tabeli CAM, a ich ruch zostanie zalany do wszystkich portów.

— David Schwartz
źródło

Czy przełącznik robi coś, aby temu zapobiec lub ograniczyć?

— TheLQ

Zazwyczaj nie, ale to nie jest jego praca. Zadaniem przełącznika jest ułatwienie komunikacji między węzłami w sieci LAN, a nie wdrażanie zasad bezpieczeństwa lub informacji o filtrach. Przełączniki robią to przypadkowo w wyniku przyspieszenia działania, a ludzie niemądrze zaczęli myśleć o tym jako o bezpieczeństwie. (To samo dzieje się z NAT.) Bezpieczeństwo zapewnione „przypadkowo” w wyniku zrobienia czegoś innego nigdy nie powinno być uważane za prawdziwe bezpieczeństwo. Istnieją bezpieczne, zarządzane przełączniki, które zapewniają bezpieczeństwo, podobnie jak implementacje NAT, które obejmują również rzeczywiste zapory ogniowe.

— David Schwartz

Nazywa się to zalewaniem MAC i wykorzystuje fakt, że tabele CAM przełączników mają ograniczoną długość. Jeśli się przepełnią, przełącznik zamienia się w koncentrator i wysyła każdy pakiet do każdego portu, co szybko może zatrzymać sieć.

Edytowane w celu poprawienia złej terminologii.

— Sven
źródło

SvW prawdopodobnie oznaczało tablicę adresów MAC, która mapuje adresy MAC na porty fizyczne. Większość przełączników przydziela do tego ograniczoną ilość pamięci i może być łatwo wyczerpana przez atakującego wysyłającego ramki z przypadkowo sfałszowanych adresów MAC. Spowodowałoby to przełączenie do zalewania ramek do wszystkich portów dla dowolnego docelowego adresu MAC, którego nie ma jeszcze w tabeli. Na szczęście można to złagodzić, ograniczając liczbę adresów MAC, które mogą pojawić się na danym porcie.

— James Sneeringer

Właściwa koncepcja, niewłaściwa terminologia ... Wystarczająco blisko, by dać +1 ode mnie.

— Chris S

@ChrisS: To już było pytanie. Cała dodana odpowiedź była niepoprawna.

— David Schwartz

@DavidSchwartz: Cóż, zredagowałem dwa słowa, w których oczywiście pomieszałem terminologię, a teraz odpowiedź jest całkowicie poprawna. Szczerze mówiąc, byłaby to świetna okazja do skorzystania z funkcji edycji witryny. Zamiast tego ludzie (niekoniecznie ty) używają go, aby zamienić „teh” na „the” w 2-letnim poście ...

— Sven

@SvW: Nie sądziłem, że to oczywiste, że użyłeś niewłaściwej terminologii, że przełączniki mają coś wspólnego z ARP, co jest bardzo częstym nieporozumieniem funkcjonalnym. Nie uważam za stosowne używać polecenia „edytuj”, aby całkowicie zmienić czyjąś odpowiedź, nawet z nieprawidłowej na poprawną. (Może to z mojej strony zła polityka. Przeszukam meta i zobaczę, czy nie jestem w tym nurcie głównego nurtu.)

— David Schwartz

Jak wyjaśniono powyżej, tablica MAC przełącznika jest „zatruta” fałszywymi adresami mac. Jest to łatwe do zrobienia dzięki macofprogramowi z dsniffpakietu narzędzi. Ostrzeżenie: spróbuj tego tylko w celach edukacyjnych we własnej sieci, w przeciwnym razie wpadniesz w poważne kłopoty prawne!

http://www.monkey.org/~dugsong/dsniff/

— Floyd
źródło