Làm thế nào để phần mềm đánh hơi mạng hoạt động trên một chuyển đổi?


18

Chúng tôi có một số thiết bị chuyển mạch 3com không được quản lý tiêu chuẩn trong mạng. Tôi nghĩ rằng các thiết bị chuyển mạch được cho là chỉ gửi các gói giữa các đồng nghiệp của một kết nối.

Tuy nhiên, có vẻ như phần mềm đánh hơi mạng đang chạy trên một máy tính được gắn vào bất kỳ một trong các thiết bị chuyển mạch nào cũng có thể phát hiện lưu lượng truy cập (tức là phát trực tuyến video youtube, các trang web) của các máy chủ khác được gắn với các thiết bị chuyển mạch khác trên mạng.

Điều này thậm chí có thể hoặc mạng bị phá vỡ hoàn toàn?


1
Có lẽ, bạn cần xem bài đăng này: serverfault.com/questions/214881/ethernet-network-topology
Khaled

Kinh nghiệm của tôi cho thấy một tình huống giống như trường hợp trong câu trả lời của David. Máy tính đánh hơi dường như không nhận được một số mà tất cả các gói mà tất cả các máy tính khác đang truyền.
Can Kavaklıoğlu

Bạn có chắc chắn rằng bạn không chỉ thấy lưu lượng phát trên phần mềm đánh hơi? Chỉ vì bạn thấy một cái gì đó, không có nghĩa là bạn đang nhìn thấy mọi thứ.
Jed Daniels

Câu trả lời:


22

Để hoàn thành câu trả lời của David, một công tắc tìm hiểu ai đứng sau một cổng bằng cách xem địa chỉ MAC của các gói nhận được trên cổng đó. Khi bật công tắc, nó không biết gì. Khi thiết bị A gửi gói từ cổng 1 đến thiết bị B, công tắc sẽ biết thiết bị A nằm sau cổng 1 và gửi gói đến tất cả các cổng. Khi thiết bị B trả lời A từ cổng 2, công tắc chỉ gửi gói trên cổng 1.

Mối quan hệ MAC với cổng này được lưu trữ trong một bảng trong chuyển đổi. Tất nhiên, nhiều thiết bị có thể ở phía sau một cổng (nếu một công tắc được cắm vào cổng làm ví dụ), do đó có thể có nhiều địa chỉ MAC được liên kết với một cổng.

Thuật toán này bị phá vỡ khi bảng không đủ lớn để lưu trữ tất cả các mối quan hệ (không đủ bộ nhớ trong chuyển đổi). Trong trường hợp này, công tắc sẽ mất thông tin và bắt đầu gửi các gói đến tất cả các cổng. Điều này có thể dễ dàng được thực hiện (bây giờ bạn biết cách hack mạng của mình) bằng cách giả mạo rất nhiều gói với MAC khác nhau từ một cổng. Nó cũng có thể được thực hiện bằng cách giả mạo một gói với MAC của thiết bị bạn muốn theo dõi và công tắc sẽ bắt đầu gửi cho bạn lưu lượng truy cập cho thiết bị đó.

Các công tắc được quản lý có thể được cấu hình để chấp nhận một MAC từ một cổng (hoặc một số cố định). Nếu có nhiều MAC được tìm thấy trên cổng đó, công tắc có thể tắt cổng để bảo vệ mạng hoặc gửi thông điệp tường trình tới quản trị viên.

CHỈNH SỬA:

Về lưu lượng truy cập youtube, thuật toán được mô tả ở trên chỉ hoạt động trên lưu lượng unicast. Phát sóng Ethernet (ARP làm ví dụ) và IP multicast (đôi khi được sử dụng để truyền phát) được xử lý khác nhau. Tôi không biết nếu youtube sử dụng phát đa hướng, nhưng đó có thể là trường hợp bạn có thể đánh hơi lưu lượng truy cập không thuộc về bạn.

Về lưu lượng truy cập trang web, điều này thật lạ, vì bắt tay TCP nên đã đặt MAC thành bảng cổng chính xác. Hoặc cấu trúc liên kết mạng xếp tầng rất nhiều thiết bị chuyển mạch rất rẻ với các bảng nhỏ luôn đầy, hoặc ai đó đang làm rối mạng.


Tôi sẽ cố gắng học các mô hình của thiết bị chuyển mạch và báo cáo lại. Thủ phạm có thể là một công tắc giá rẻ nằm ở đầu cấu trúc liên kết mạng? Tôi đoán nó thậm chí còn trở nên phức tạp hơn trong trường hợp đó. Chính sách của một công tắc sẽ là gì nếu một gói không thuộc bất kỳ cổng nào của nó đến từ công tắc giá rẻ nằm trên chính nó trong cấu trúc liên kết?
Can Kavaklıoğlu

Nếu một gói đến một công tắc và không biết địa chỉ MAC đích của gói này, thì gói đó được gửi đến tất cả các cổng (ngay cả khi công tắc được quản lý hoặc không được quản lý và thực tế là gói đến từ một công tắc hoặc một thiết bị không quan trọng). Ngoài ra, bảng được cập nhật với địa chỉ MAC nguồn của gói, điều này sẽ dẫn đến nhiều khả năng: không có vấn đề gì với bản cập nhật, bảng đầy đủ và bổ sung xóa một mục hợp lệ hoặc bản cập nhật loại bỏ mối quan hệ MAC hợp lệ với cổng . 2 trường hợp cuối cùng dẫn đến các vấn đề trên mạng.
jfg956

6

Đây là một sự hiểu lầm phổ biến. Trừ khi nó được cấu hình tĩnh, một bộ chuyển mạch phải gửi mọi gói qua mọi cổng mà nó không thể chứng minh được là không cần gửi gói đó ra.

Điều này có thể có nghĩa là một gói chỉ được gửi đến cổng có chứa thiết bị đích. Nhưng điều này không thể luôn luôn là trường hợp. Ví dụ, hãy xem xét gói đầu tiên mà công tắc nhận được. Làm thế nào nó có thể biết cổng nào để gửi nó ra?

Việc ngăn chặn các gói tin được gửi đi trên cổng 'sai' là một tối ưu hóa mà một công tắc sử dụng khi có thể. Đây không phải là một tính năng bảo mật. Quản lý chuyển mạch thường cung cấp bảo mật cổng thực tế.


4
Cụm từ bạn đang tìm kiếm là "tràn ngập khung hình đến các điểm đến chưa biết".
Evan Anderson

0

Có thể ARP Cache Poisoning có hiệu lực. Đây là một kỹ thuật được sử dụng, thường là độc hại, để đánh hơi một mạng chuyển mạch. Điều này được thực hiện bằng cách thuyết phục mọi máy trên mạng rằng mọi máy khác đều có địa chỉ MAC của bạn (sử dụng giao thức ARP). Điều này sẽ khiến công tắc chuyển tiếp tất cả các gói đến máy của bạn - bạn sẽ muốn chuyển tiếp chúng sau khi phân tích. Điều này thường được sử dụng trong các cuộc tấn công giữa chừng và có sẵn trong các công cụ đánh hơi khác nhau như Cain & Abel hoặc ettercap.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.