Как программное обеспечение сетевого анализатора работает через коммутатор?

18

У нас есть несколько стандартных неуправляемых коммутаторов 3com в сети. Я думал, что коммутаторы должны были отправлять пакеты только между узлами соединения.

Однако, похоже, что программное обеспечение для прослушивания сети, работающее на компьютере, подключенном к любому из коммутаторов, способно обнаруживать трафик (т. Е. Потоковое видео на YouTube, веб-страницы) других хост-компьютеров, подключенных к другим коммутаторам в сети.

Это вообще возможно или сеть полностью сломана?

Может Каваклыоглу
источник
1
Может быть, вы должны смотреть на этот пост: serverfault.com/questions/214881/ethernet-network-topology
Халед
Мой опыт подсказывает, что ситуация больше похожа на ситуацию в ответе Дэвида. Нюхающий компьютер, кажется, получает не некоторые, а все пакеты, но все другие компьютеры передают.
Может Kavaklıoğlu
Вы уверены, что вы не просто видите широковещательный трафик на программном обеспечении сниффинга? То, что вы видите что-то, не означает, что вы видите все.
Джед Дэниелс

Ответы:

22

Чтобы завершить ответ Дэвида, коммутатор узнает, кто находится за портом, просматривая MAC-адреса пакетов, полученных на этот порт. Когда выключатель включен, он ничего не знает. Как только устройство A отправляет пакет с порта 1 на устройство B, коммутатор узнает, что устройство A находится за портом 1, и отправляет пакет на все порты. Как только устройство B ответит на A из порта 2, коммутатор отправляет пакет только через порт 1.

Это отношение MAC к порту хранится в таблице коммутатора. Конечно, многие устройства могут находиться за одним портом (например, если к порту подключен коммутатор), поэтому может быть много MAC-адресов, связанных с одним портом.

Этот алгоритм прерывается, когда таблица недостаточно велика для хранения всех связей (недостаточно памяти в коммутаторе). В этом случае коммутатор теряет информацию и начинает отправлять пакеты на все порты. Это легко сделать (теперь вы знаете, как взломать вашу сеть), подделав множество пакетов с разными MAC-адресами из одного порта. Это также можно сделать, подделав пакет с MAC-адресом устройства, которое вы хотите шпионить, и коммутатор начнет отправлять вам трафик для этого устройства.

Управляемые коммутаторы могут быть настроены на прием одного MAC-адреса от порта (или фиксированного номера). Если на этом порту обнаружено больше MAC-адресов, коммутатор может отключить порт для защиты сети или отправить сообщение журнала администратору.

РЕДАКТИРОВАТЬ:

Что касается трафика YouTube, описанный выше алгоритм работает только на одноадресном трафике. Широковещание Ethernet (например, ARP) и многоадресная IP-рассылка (иногда используется для потоковой передачи) обрабатываются по-разному. Я не знаю, использует ли YouTube многоадресную рассылку, но это может быть случай, когда вы можете прослушивать трафик, не принадлежащий вам.

Что касается трафика веб-страниц, это странно, так как TCP-квитирование должно было правильно настроить MAC для таблицы портов. Либо топология сети каскадирует множество очень дешевых коммутаторов с небольшими таблицами, которые всегда заполнены, либо кто-то вмешивается в работу сети.

jfg956
источник
Я постараюсь узнать модели переключателей и доложить. Может ли виновник быть дешевым коммутатором, расположенным на вершине топологии сети? Я думаю, что в этом случае это становится еще сложнее. Какова будет политика коммутатора, если пакет, который не принадлежит ни одному из его портов, поступает от дешевого коммутатора, расположенного над собой в топологии?
Может Kavaklıoğlu
Если пакет поступает на коммутатор, а MAC-адрес назначения этого пакета неизвестен, пакет отправляется на все порты (даже если коммутатор является управляемым или неуправляемым, а также тот факт, что пакет поступает от коммутатора или устройство не важно). Кроме того, таблица обновляется в соответствии с исходным MAC-адресом пакета, что открывает множество возможностей: нет проблем с обновлением, таблица заполнена и дополнение удаляет допустимую запись, или обновление удаляет действительное отношение MAC к порту. , Последние 2 случая приводят к проблемам в сети.
jfg956
6

Это распространенное недоразумение. Если он не настроен статически, коммутатор должен отправлять каждый пакет через каждый порт, который он не может доказать, что ему не нужно отправлять этот пакет.

Это может означать, что пакет отправляется только на порт, который содержит целевое устройство. Но это не всегда так. Например, рассмотрим самый первый пакет, который получает коммутатор. Как он мог знать, на какой порт его отправлять?

Подавление пакетов от отправки на «неправильный» порт - это оптимизация, которую коммутатор использует, когда может. Это не функция безопасности. Управляемые коммутаторы часто обеспечивают реальную безопасность порта.

Дэвид Шварц
источник
4
Фраза, которую вы ищете, это «заливка кадров в неизвестные места назначения».
Эван Андерсон
0

Возможно, что ARP Cache Poisoning действует. Это метод, используемый часто, злонамеренно, для прослушивания коммутируемой сети. Это делается путем убеждения каждой машины в сети, что каждая другая машина имеет свой MAC-адрес (используя протокол ARP). Это заставит коммутатор пересылать все пакеты на ваш компьютер - вы захотите переслать их после анализа. Это обычно используется при атаках типа «человек посередине» и доступно в различных инструментах сниффинга, таких как Cain & Abel или ettercap.

Луцкая
источник