Wie funktioniert die Netzwerk-Sniffing-Software über einen Switch?

18

Wir haben mehrere nicht verwaltete Standard-3com-Switches in einem Netzwerk. Ich dachte, Switches sollten nur Pakete zwischen Peers einer Verbindung senden.

Es scheint jedoch, dass Netzwerk-Sniffing-Software, die auf einem Computer ausgeführt wird, der an einen der Switches angeschlossen ist, Datenverkehr (z. B. YouTube-Video-Streaming, Webseiten) anderer Host-Computer erkennen kann, die an andere Switches im Netzwerk angeschlossen sind.

Ist das überhaupt möglich oder ist das Netzwerk gründlich defekt?

Kann Kavaklıoğlu
quelle
1
Vielleicht müssen Sie sich diesen Beitrag ansehen
Khaled
Meine Erfahrung deutet auf eine Situation hin, die eher der in Davids Antwort entspricht. Sniffing Computer scheint nicht einige, sondern alle Pakete zu empfangen, aber alle anderen Computer senden.
Kann Kavaklıoğlu
Sind Sie sicher, dass Sie nicht nur Broadcast-Verkehr in der Sniffing-Software sehen? Nur weil du etwas siehst, heißt das nicht, dass du alles siehst.
Jed Daniels

Antworten:

22

Um Davids Antwort zu vervollständigen, erkennt ein Switch anhand der MAC-Adressen der an diesem Port empfangenen Pakete, wer sich hinter einem Port befindet. Wenn der Schalter eingeschaltet ist, weiß er nichts. Sobald Gerät A ein Paket von Port 1 an Gerät B sendet, erkennt der Switch, dass sich Gerät A hinter Port 1 befindet, und sendet das Paket an alle Ports. Sobald Gerät B über Port 2 auf A antwortet, sendet der Switch das Paket nur über Port 1.

Diese MAC-zu-Port-Beziehung wird in einer Tabelle im Switch gespeichert. Natürlich können sich viele Geräte hinter einem einzelnen Port befinden (wenn beispielsweise ein Switch an den Port angeschlossen ist), sodass einem einzelnen Port möglicherweise viele MAC-Adressen zugeordnet sind.

Dieser Algorithmus bricht ab, wenn die Tabelle nicht groß genug ist, um alle Beziehungen zu speichern (nicht genügend Speicher im Switch). In diesem Fall verliert der Switch Informationen und beginnt, Pakete an alle Ports zu senden. Dies kann leicht erreicht werden (jetzt wissen Sie, wie Sie Ihr Netzwerk hacken können), indem viele Pakete mit unterschiedlichen MACs von einem einzigen Port aus gefälscht werden. Sie können auch ein Paket mit dem MAC des Geräts fälschen, das Sie ausspionieren möchten, und der Switch sendet Ihnen den Datenverkehr für dieses Gerät.

Managed Switches können so konfiguriert werden, dass sie einen einzelnen MAC von einem Port (oder einer festen Nummer) akzeptieren. Wenn an diesem Port weitere MACs gefunden werden, kann der Switch den Port herunterfahren, um das Netzwerk zu schützen, oder eine Protokollnachricht an den Administrator senden.

BEARBEITEN:

Bezüglich des YouTube-Verkehrs funktioniert der oben beschriebene Algorithmus nur bei Unicast-Verkehr. Ethernet-Broadcast (als Beispiel ARP) und IP-Multicast (manchmal für Streaming verwendet) werden unterschiedlich gehandhabt. Ich weiß nicht, ob YouTube Multicast verwendet, aber es kann vorkommen, dass Sie nicht zu Ihnen gehörenden Datenverkehr spüren können.

Über den Webseitenverkehr ist dies seltsam, da der TCP-Handshake die MAC-Port-Tabelle korrekt eingestellt haben sollte. Entweder kaskadiert die Netzwerktopologie viele sehr kostengünstige Switches mit kleinen Tabellen, die immer voll sind, oder es wird mit dem Netzwerk herumgespielt.

jfg956
quelle
Ich werde versuchen, Modelle von Schaltern zu lernen und darüber Bericht zu erstatten. Könnte der Täter ein billiger Switch sein, der sich oben in der Netzwerktopologie befindet? Ich denke, es wird in diesem Fall noch komplizierter. Was wäre die Richtlinie eines Switches, wenn ein Paket, das keinem seiner Ports angehört, von dem billigen Switch kommt, der sich in der Topologie über sich selbst befindet?
Kann Kavaklıoğlu
Wenn ein Paket an einem Switch ankommt und die Ziel-MAC-Adresse dieses Pakets nicht bekannt ist, wird das Paket an alle Ports gesendet (auch wenn der Switch verwaltet oder nicht verwaltet ist und die Tatsache, dass das Paket von einem Switch stammt, oder ein Gerät ist nicht wichtig). Zusätzlich wird die Tabelle mit der Quell-MAC-Adresse des Pakets aktualisiert, was zu vielen Möglichkeiten führt: Kein Problem mit der Aktualisierung, die Tabelle ist voll und der Zusatz löscht einen gültigen Eintrag oder die Aktualisierung entfernt eine gültige MAC-zu-Port-Beziehung . Die letzten beiden Fälle führen zu Problemen im Netzwerk.
jfg956
6

Dies ist ein weit verbreitetes Missverständnis. Sofern es nicht statisch konfiguriert ist, muss ein Switch jedes Paket über jeden Port senden , von dem er nicht beweisen kann, dass er dieses Paket nicht weiterleiten muss.

Dies kann bedeuten, dass ein Paket nur an den Port gesendet wird, der das Zielgerät enthält. Dies kann aber nicht immer der Fall sein. Betrachten Sie beispielsweise das allererste Paket, das der Switch empfängt. Wie kann es wissen, an welchen Port es gesendet werden soll?

Das Unterdrücken des Versendens von Paketen am "falschen" Port ist eine Optimierung, die ein Switch verwendet, wenn er kann. Es ist kein Sicherheitsmerkmal. Verwaltete Switches bieten häufig die tatsächliche Port-Sicherheit.

David Schwartz
quelle
4
Der gesuchte Ausdruck lautet "Überfluten von Frames an unbekannte Ziele".
Evan Anderson
0

Möglicherweise ist ARP Cache Poisoning in Kraft. Dies ist eine Technik, die häufig in böswilliger Absicht eingesetzt wird, um ein geschaltetes Netzwerk aufzuspüren. Dies wird erreicht, indem jeder Computer im Netzwerk davon überzeugt wird, dass jeder andere Computer Ihre MAC-Adresse hat (unter Verwendung des ARP-Protokolls). Dies veranlasst den Switch, alle Pakete an Ihren Computer weiterzuleiten - Sie möchten sie nach der Analyse weiterleiten. Dies wird häufig bei Man-in-the-Middle-Angriffen verwendet und ist in verschiedenen Sniffing-Tools wie Cain & Abel oder ettercap verfügbar.

Lutzky
quelle