Kiểu tấn công mạng nào biến một công tắc thành một trung tâm?

Tôi đã đọc một bài báo ngày hôm nay mô tả cách một người thử nghiệm thâm nhập có thể chứng minh việc tạo một tài khoản ngân hàng giả với số dư 14 triệu đô la. Tuy nhiên, một đoạn mô tả cuộc tấn công đã nổi bật:

Sau đó, ông "tràn ngập" các thiết bị chuyển mạch - các hộp nhỏ điều hướng lưu lượng dữ liệu - để tràn ngập mạng nội bộ của ngân hàng với dữ liệu. Kiểu tấn công đó biến công tắc thành một "trung tâm" phát sóng dữ liệu một cách bừa bãi.

Tôi không quen với hiệu ứng được mô tả. Có thực sự có thể buộc một công tắc để truyền phát lưu lượng đến tất cả các cổng của nó bằng cách gửi một lượng lớn lưu lượng không? Chính xác thì chuyện gì đang xảy ra trong tình huống này?

switch security

— Lucas
nguồn

Một số chi tiết khác tại bài đăng / câu trả lời này: serverfault.com/questions/345670/ .

— jfg956

Câu trả lời:

Đây được gọi là lũ MAC . "Địa chỉ MAC" là địa chỉ phần cứng Ethernet. Một công tắc duy trì một bảng CAM ánh xạ địa chỉ MAC thành các cổng.

Nếu một bộ chuyển mạch phải gửi một gói đến một địa chỉ MAC không có trong bảng CAM của nó, nó sẽ tràn vào tất cả các cổng giống như một hub. Vì vậy, nếu bạn làm ngập một công tắc có số lượng địa chỉ MAC lớn hơn, bạn sẽ buộc các mục nhập của địa chỉ MAC hợp pháp ra khỏi bảng CAM và lưu lượng truy cập của chúng sẽ bị ngập đến tất cả các cổng.

— David Schwartz
nguồn

Công tắc có làm gì để ngăn chặn hoặc hạn chế điều này không?

— TheLQ

Điển hình là không, nhưng đó không phải là công việc của nó. Công việc của một công tắc là tạo điều kiện giao tiếp giữa các nút trong mạng LAN, không thực hiện chính sách bảo mật hoặc thông tin bộ lọc. Switch làm điều này một cách tình cờ là kết quả của việc làm cho mọi thứ nhanh hơn và mọi người, thật ngu ngốc, nghĩ rằng đây là bảo mật. (Điều tương tự cũng xảy ra với NAT.) Bảo mật cung cấp "vô tình" do hậu quả của việc làm một cái gì đó khác không bao giờ được coi là bảo mật thực sự. Có các thiết bị chuyển mạch được quản lý an toàn cung cấp bảo mật, giống như có các triển khai NAT cũng bao gồm các tường lửa thực tế.

— David Schwartz

Điều này được gọi là lũ MAC và sử dụng thực tế là các bảng CAM của các công tắc có chiều dài hạn chế. Nếu chúng tràn, một công tắc sẽ chuyển thành một trung tâm và gửi mọi gói đến mọi cổng, điều này có thể nhanh chóng làm hỏng mạng.

Chỉnh sửa để sửa thuật ngữ sai.

— Sven
nguồn

SvW có lẽ có nghĩa là bảng địa chỉ MAC, ánh xạ địa chỉ MAC tới các cổng vật lý. Hầu hết các thiết bị chuyển mạch phân bổ một lượng bộ nhớ hạn chế cho việc này và nó có thể dễ dàng bị cạn kiệt bởi kẻ tấn công gửi các khung từ các địa chỉ MAC giả mạo ngẫu nhiên. Điều này sẽ khiến việc chuyển sang khung ngập tới tất cả các cổng cho bất kỳ địa chỉ MAC đích nào chưa có trong bảng. May mắn thay, điều này có thể được giảm thiểu bằng cách giới hạn số lượng MAC có thể xuất hiện trên một cổng nhất định.

— James Sneeringer

Khái niệm đúng, thuật ngữ sai ... Đóng đủ cho +1 từ tôi.

— Chris S

@ChrisS: Điều đó đã có trong câu hỏi. Tất cả mọi thứ câu trả lời thêm vào đều không chính xác.

— David Schwartz

@DavidSchwartz: Chà, tôi đã chỉnh sửa hai từ mà rõ ràng tôi đã trộn lẫn thuật ngữ và bây giờ câu trả lời là hoàn toàn chính xác. Thẳng thắn mà nói, đó sẽ là một cơ hội tuyệt vời để sử dụng chức năng chỉnh sửa của trang web. Thay vào đó, mọi người (không nhất thiết là bạn) sử dụng nó để thay thế "teh" bằng "the" trong bài đăng 2 năm tuổi ...

— Sven

@SvW: Tôi không nghĩ rằng rõ ràng là bạn chỉ sử dụng thuật ngữ sai, rằng các công tắc có liên quan đến ARP thực sự là một sự hiểu lầm chức năng rất phổ biến. Tôi không cho rằng nó phù hợp để sử dụng "chỉnh sửa" để thay đổi hoàn toàn câu trả lời của người khác, thậm chí từ không chính xác thành chính xác. (Có lẽ đó là một chính sách xấu trên một phần của tôi, tôi sẽ tìm kiếm xung quanh trên meta và xem nếu tôi ra khỏi dòng chính trong quan điểm đó..)

— David Schwartz

Như đã được giải thích ở trên, bảng MAC của công tắc bị 'nhiễm độc' với các địa chỉ mac giả. Điều này rất dễ thực hiện với macofchương trình từ dsniffbộ công cụ. Cảnh báo: chỉ thử điều này cho mục đích giáo dục trong mạng riêng của bạn, nếu không bạn sẽ gặp rắc rối pháp lý sâu sắc!

http://www.monkey.org/~dugsong/dsniff/

— Floyd
nguồn