Frage Welche Art von Netzwerkangriff macht einen Switch zu einem Hub?


Ich lese ein Artikel Heute wird beschrieben, wie ein Penetrationstester die Erstellung eines gefälschten Bankkontos mit einem Guthaben von 14 Millionen US-Dollar nachweisen konnte. Ein Absatz, der den Angriff beschreibt, fiel jedoch auf:

Dann "flutete" er Schalter - kleine Boxen, die den Datenverkehr lenken -   das interne Netzwerk der Bank mit Daten zu überlasten. Diese Art von   Attack verwandelt den Switch in einen "Hub", der Daten ausstrahlt   wahllos.

Ich kenne den beschriebenen Effekt nicht. Ist es wirklich möglich, einen Switch zu zwingen, Datenverkehr an alle seine Ports zu senden, indem er große Mengen an Datenverkehr sendet? Was genau passiert in dieser Situation?


35
2018-05-15 16:51


Ursprung


Einige andere Details in diesem Post / Antwort: serverfault.com/questions/345670/.... - jfg956


Antworten:


Das nennt man MAC-Überschwemmung. Eine "MAC-Adresse" ist eine Ethernet-Hardwareadresse. Ein Schalter behält ein CAM-Tisch Das ordnet MAC-Adressen Ports zu.

Wenn ein Switch ein Paket an eine MAC-Adresse senden muss, die nicht in seiner CAM-Tabelle enthalten ist, wird es wie bei einem Hub an alle Ports gesendet. Wenn Sie also einen Switch mit einer größeren Anzahl von MAC-Adressen überfluten, erzwingen Sie die Eingabe legitimer MAC-Adressen aus der CAM-Tabelle, und ihr Verkehr wird an alle Ports überflutet.


62
2018-05-15 17:16



Tut der Switch etwas, um dies zu verhindern oder zu begrenzen? - TheLQ
Normalerweise nicht, aber das ist nicht seine Aufgabe. Die Aufgabe eines Switches besteht darin, die Kommunikation zwischen Knoten in einem LAN zu erleichtern, keine Sicherheitsrichtlinie oder Filterinformationen zu implementieren. Schalter tun dies zufällig, weil sie Dinge schneller machen, und die Leute denken dummerweise daran, dies als Sicherheit zu betrachten. (Das gleiche passiert mit NAT.) Sicherheit, die "versehentlich" als Folge von etwas anderem zur Verfügung gestellt wird, sollte niemals als echte Sicherheit angesehen werden. Es gibt sichere, verwaltete Switches, die Sicherheit bieten, genauso wie es NAT-Implementierungen gibt, die auch echte Firewalls enthalten. - David Schwartz


Dies wird MAC-Flooding genannt und nutzt die Tatsache, dass die CAM-Tabellen von Switches eine begrenzte Länge haben. Wenn sie überlaufen, verwandelt sich ein Switch in einen Hub und sendet jedes Paket an jeden Port, was ein Netzwerk schnell zum Stillstand bringen kann.

Bearbeitet, um falsche Terminologie zu korrigieren.


8
2018-05-15 16:57



SvW bedeutete wahrscheinlich die MAC-Adresstabelle, die MAC-Adressen physischen Ports zuordnet. Die meisten Switches stellen hierfür eine begrenzte Menge an Speicher zur Verfügung und können leicht von einem Angreifer, der Frames von zufällig gefälschten MAC-Adressen sendet, erschöpft werden. Dies würde dazu führen, dass der Switch alle Ports für alle Ziel-MAC-Adressen überflutet, die noch nicht in der Tabelle enthalten sind. Glücklicherweise kann dies gemildert werden, indem die Anzahl von MACs beschränkt wird, die an einem bestimmten Port auftreten können. - James Sneeringer
Richtiges Konzept, falsche Terminologie ... Nahe genug für eine +1 von mir. - Chris S
@ChrisS: Das war schon in der Frage. Alles, was die Antwort hinzugefügt hat, war falsch. - David Schwartz
@DavidSchwartz: Nun, ich habe zwei Wörter wo ich bearbeitet offensichtlich Verwechselt Terminologie und jetzt ist die Antwort völlig richtig. Ganz ehrlich, das wäre eine großartige Gelegenheit gewesen, die Bearbeitungsfunktion der Website selbst zu nutzen. Stattdessen verwenden Leute (nicht unbedingt Sie) es, um "teh" durch "das" in einem 2-jährigen Beitrag zu ersetzen ... - Sven♦
@SvW: Ich glaube nicht, dass es offensichtlich war, dass du nur die falsche Terminologie benutzt hast, dass Switches etwas mit ARP zu tun haben, ist eigentlich ein sehr häufiges funktionales Missverständnis. Ich halte es nicht für angebracht, "Bearbeiten" zu verwenden, um die Antwort einer anderen Person vollständig zu ändern, auch von "falsch" bis "korrekt". (Vielleicht ist das eine schlechte Politik meinerseits. Ich werde auf Meta suchen und sehen, ob ich in dieser Ansicht aus dem Mainstream heraus bin.) - David Schwartz


Wie oben erklärt wurde, ist die MAC-Tabelle des Switches mit gefälschten Mac-Adressen "vergiftet". Dies ist einfach mit dem zu tun macof Programm von der dsniff Suite von Werkzeugen. Achtung: Versuchen Sie dies nur für Bildungszwecke in Ihrem eigenen Netzwerk, sonst werden Sie in tiefe rechtliche Schwierigkeiten geraten!

http://www.monkey.org/~dugsong/dsniff/


0
2018-06-12 11:12