Làm thế nào để phần mềm đánh hơi mạng hoạt động trên một chuyển đổi?

Chúng tôi có một số thiết bị chuyển mạch 3com không được quản lý tiêu chuẩn trong mạng. Tôi nghĩ rằng các thiết bị chuyển mạch được cho là chỉ gửi các gói giữa các đồng nghiệp của một kết nối.

Tuy nhiên, có vẻ như phần mềm đánh hơi mạng đang chạy trên một máy tính được gắn vào bất kỳ một trong các thiết bị chuyển mạch nào cũng có thể phát hiện lưu lượng truy cập (tức là phát trực tuyến video youtube, các trang web) của các máy chủ khác được gắn với các thiết bị chuyển mạch khác trên mạng.

Điều này thậm chí có thể hoặc mạng bị phá vỡ hoàn toàn?

Để hoàn thành câu trả lời của David, một công tắc tìm hiểu ai đứng sau một cổng bằng cách xem địa chỉ MAC của các gói nhận được trên cổng đó. Khi bật công tắc, nó không biết gì. Khi thiết bị A gửi gói từ cổng 1 đến thiết bị B, công tắc sẽ biết thiết bị A nằm sau cổng 1 và gửi gói đến tất cả các cổng. Khi thiết bị B trả lời A từ cổng 2, công tắc chỉ gửi gói trên cổng 1.

Mối quan hệ MAC với cổng này được lưu trữ trong một bảng trong chuyển đổi. Tất nhiên, nhiều thiết bị có thể ở phía sau một cổng (nếu một công tắc được cắm vào cổng làm ví dụ), do đó có thể có nhiều địa chỉ MAC được liên kết với một cổng.

Thuật toán này bị phá vỡ khi bảng không đủ lớn để lưu trữ tất cả các mối quan hệ (không đủ bộ nhớ trong chuyển đổi). Trong trường hợp này, công tắc sẽ mất thông tin và bắt đầu gửi các gói đến tất cả các cổng. Điều này có thể dễ dàng được thực hiện (bây giờ bạn biết cách hack mạng của mình) bằng cách giả mạo rất nhiều gói với MAC khác nhau từ một cổng. Nó cũng có thể được thực hiện bằng cách giả mạo một gói với MAC của thiết bị bạn muốn theo dõi và công tắc sẽ bắt đầu gửi cho bạn lưu lượng truy cập cho thiết bị đó.

Các công tắc được quản lý có thể được cấu hình để chấp nhận một MAC từ một cổng (hoặc một số cố định). Nếu có nhiều MAC được tìm thấy trên cổng đó, công tắc có thể tắt cổng để bảo vệ mạng hoặc gửi thông điệp tường trình tới quản trị viên.

CHỈNH SỬA:

Về lưu lượng truy cập youtube, thuật toán được mô tả ở trên chỉ hoạt động trên lưu lượng unicast. Phát sóng Ethernet (ARP làm ví dụ) và IP multicast (đôi khi được sử dụng để truyền phát) được xử lý khác nhau. Tôi không biết nếu youtube sử dụng phát đa hướng, nhưng đó có thể là trường hợp bạn có thể đánh hơi lưu lượng truy cập không thuộc về bạn.

Về lưu lượng truy cập trang web, điều này thật lạ, vì bắt tay TCP nên đã đặt MAC thành bảng cổng chính xác. Hoặc cấu trúc liên kết mạng xếp tầng rất nhiều thiết bị chuyển mạch rất rẻ với các bảng nhỏ luôn đầy, hoặc ai đó đang làm rối mạng.

Đây là một sự hiểu lầm phổ biến. Trừ khi nó được cấu hình tĩnh, một bộ chuyển mạch phải gửi mọi gói qua mọi cổng mà nó không thể chứng minh được là không cần gửi gói đó ra.

Điều này có thể có nghĩa là một gói chỉ được gửi đến cổng có chứa thiết bị đích. Nhưng điều này không thể luôn luôn là trường hợp. Ví dụ, hãy xem xét gói đầu tiên mà công tắc nhận được. Làm thế nào nó có thể biết cổng nào để gửi nó ra?

Việc ngăn chặn các gói tin được gửi đi trên cổng 'sai' là một tối ưu hóa mà một công tắc sử dụng khi có thể. Đây không phải là một tính năng bảo mật. Quản lý chuyển mạch thường cung cấp bảo mật cổng thực tế.

Có thể ARP Cache Poisoning có hiệu lực. Đây là một kỹ thuật được sử dụng, thường là độc hại, để đánh hơi một mạng chuyển mạch. Điều này được thực hiện bằng cách thuyết phục mọi máy trên mạng rằng mọi máy khác đều có địa chỉ MAC của bạn (sử dụng giao thức ARP). Điều này sẽ khiến công tắc chuyển tiếp tất cả các gói đến máy của bạn - bạn sẽ muốn chuyển tiếp chúng sau khi phân tích. Điều này thường được sử dụng trong các cuộc tấn công giữa chừng và có sẵn trong các công cụ đánh hơi khác nhau như Cain & Abel hoặc ettercap.