Frage Wie funktioniert Netzwerk-Sniffing-Software über einen Switch?


Wir haben mehrere nicht gemanagte 3com Switches in einem Netzwerk. Ich dachte, Switches sollten Pakete nur zwischen Peers einer Verbindung senden.

Es scheint jedoch, dass Netzwerk-Schnüffel-Software, die auf einem Computer ausgeführt wird, der an einen beliebigen der Switches angeschlossen ist, Verkehr (dh YouTube-Video-Streaming, Webseiten) von anderen Host-Computern erkennt, die an andere Switches im Netzwerk angeschlossen sind.

Ist das überhaupt möglich oder ist das Netzwerk durchbrochen?


18
2018-01-01 07:58


Ursprung


Vielleicht müssen Sie sich diesen Beitrag ansehen: serverfault.com/questions/214881/ethernet-network-topologie - Khaled
Meine Erfahrung legt eine Situation nahe, die eher dem Fall in Davids Antwort entspricht. Sniffing-Computer scheint nicht einige, sondern alle Pakete zu empfangen, aber alle anderen Computer übertragen. - Can Kavaklıoğlu
Sind Sie sicher, dass Sie nicht nur den Datenverkehr auf der Sniffing-Software sehen? Nur weil du etwas siehst, heißt das nicht, dass du alles siehst. - Jed Daniels


Antworten:


Um Davids Antwort zu vervollständigen, lernt ein Switch, wer sich hinter einem Port befindet, indem er die MAC-Adressen von Paketen betrachtet, die an diesem Port empfangen werden. Wenn der Schalter eingeschaltet ist, weiß er nichts. Sobald Gerät A ein Paket von Port 1 an Gerät B sendet, erkennt der Switch, dass Gerät A hinter Port 1 ist, und sendet das Paket an alle Ports. Sobald Gerät B von Port 2 an A antwortet, sendet der Switch nur das Paket an Port 1.

Diese MAC-Port-Beziehung wird in einer Tabelle im Switch gespeichert. Natürlich können sich viele Geräte hinter einem einzelnen Port befinden (wenn beispielsweise ein Switch an den Port angeschlossen ist), so dass viele MAC-Adressen mit einem einzelnen Port verbunden sein können.

Dieser Algorithmus wird unterbrochen, wenn die Tabelle nicht groß genug ist, um alle Beziehungen zu speichern (nicht genügend Speicher im Switch). In diesem Fall verliert der Switch Informationen und beginnt, Pakete an alle Ports zu senden. Dies kann leicht getan werden (jetzt wissen Sie, wie Sie Ihr Netzwerk hacken), indem Sie viele Pakete mit unterschiedlichen MACs von einem einzigen Port aus fälschen. Sie können auch ein Paket mit dem MAC des Geräts, das Sie ausspionieren möchten, fälschen, und der Switch sendet Ihnen den Datenverkehr für dieses Gerät.

Verwaltete Switches können so konfiguriert werden, dass sie einen einzelnen MAC von einem Port (oder einer festen Nummer) akzeptieren. Wenn an diesem Port mehr MACs gefunden werden, kann der Switch den Port zum Schutz des Netzwerks herunterfahren oder eine Protokollnachricht an den Administrator senden.

BEARBEITEN:

Über den Youtube-Verkehr funktioniert der oben beschriebene Algorithmus nur bei Unicast-Verkehr. Ethernet-Broadcast (zum Beispiel ARP) und IP-Multicast (manchmal für Streaming verwendet) werden unterschiedlich behandelt. Ich weiß nicht, ob Youtube Multicast verwendet, aber es könnte ein Fall sein, in dem Sie Traffic abhören können, der Ihnen nicht gehört.

Über den Webseitenverkehr ist das seltsam, da der TCP-Handshake die MAC-zu-Port-Tabelle korrekt eingestellt haben sollte. Entweder kaskadiert die Netzwerktopologie viele sehr billige Switches mit kleinen Tabellen, die immer voll sind, oder jemand macht sich mit dem Netzwerk herumärgern.


22
2018-01-01 10:45



Ich werde versuchen, Modelle von Schaltern zu lernen und Bericht zu erstatten. Könnte der Schuldige ein billiger Schalter sein, der sich an der Spitze der Netzwerktopologie befindet? Ich schätze, dass es in diesem Fall noch komplizierter wird. Was wäre die Politik eines Switches, wenn ein Paket, das zu keinem seiner Ports gehört, von dem billigen Switch kommt, der sich auf der Topologie über sich selbst befindet? - Can Kavaklıoğlu
Wenn ein Paket an einem Switch ankommt und die Ziel-MAC-Adresse dieses Pakets nicht bekannt ist, wird das Paket an alle Ports gesendet (auch wenn der Switch verwaltet oder nicht verwaltet wird und die Tatsache, dass das Paket von einem Switch oder ein Gerät ist nicht wichtig). Außerdem wird die Tabelle mit der Quell-MAC-Adresse des Pakets aktualisiert, was zu vielen Möglichkeiten führt: Kein Problem mit dem Update, die Tabelle ist voll und der Zusatz löscht einen gültigen Eintrag, oder das Update entfernt eine gültige MAC-zu-Port-Beziehung . Die letzten 2 Fälle führen zu Problemen im Netzwerk. - jfg956


Dies ist ein häufiges Missverständnis. Sofern es nicht statisch konfiguriert ist, ein Schalter Muss Sende jedes Paket über jeden Port, dass es nicht beweisen kann, dass das Paket nicht gesendet werden muss.

Dies kann bedeuten, dass ein Paket nur an den Port gesendet wird, der das Zielgerät enthält. Aber das kann nicht immer der Fall sein. Betrachten Sie zum Beispiel das allererste Paket, das der Switch empfängt. Woher sollte es wissen, an welchen Port es gesendet werden sollte?

Das Unterdrücken von Paketen, die an den "falschen" Port gesendet werden, ist eine Optimierung, die ein Switch verwendet, wenn es möglich ist. Es ist keine Sicherheitsfunktion. Verwaltete Switches stellen oft die tatsächliche Portsicherheit bereit.


6
2018-01-01 08:21



Der Satz, nach dem Sie suchen, ist "Überflutung von Frames zu unbekannten Zielen". - Evan Anderson


Es ist möglich, dass ARP Cache Poisoning wirksam ist. Dies ist eine Technik, die häufig böswillig verwendet wird, um ein geschaltetes Netzwerk zu erkennen. Dies geschieht, indem jeder Rechner im Netzwerk davon überzeugt wird, dass jede andere Maschine Ihre MAC-Adresse hat (unter Verwendung des ARP-Protokolls). Dies führt dazu, dass der Switch alle Pakete an Ihren Computer weiterleitet. Sie sollten diese nach der Analyse weiterleiten. Dies wird häufig bei Man-in-the-Middle-Angriffen verwendet und ist in verschiedenen Sniffing-Tools wie Cain & Abel oder ettercap verfügbar.


0
2018-01-02 18:19