Wir haben mehrere nicht verwaltete Standard-3com-Switches in einem Netzwerk. Ich dachte, Switches sollten nur Pakete zwischen Peers einer Verbindung senden.
Es scheint jedoch, dass Netzwerk-Sniffing-Software, die auf einem Computer ausgeführt wird, der an einen der Switches angeschlossen ist, Datenverkehr (z. B. YouTube-Video-Streaming, Webseiten) anderer Host-Computer erkennen kann, die an andere Switches im Netzwerk angeschlossen sind.
Ist das überhaupt möglich oder ist das Netzwerk gründlich defekt?
networking
switch
packet-sniffer
Kann Kavaklıoğlu
quelle
quelle
Antworten:
Um Davids Antwort zu vervollständigen, erkennt ein Switch anhand der MAC-Adressen der an diesem Port empfangenen Pakete, wer sich hinter einem Port befindet. Wenn der Schalter eingeschaltet ist, weiß er nichts. Sobald Gerät A ein Paket von Port 1 an Gerät B sendet, erkennt der Switch, dass sich Gerät A hinter Port 1 befindet, und sendet das Paket an alle Ports. Sobald Gerät B über Port 2 auf A antwortet, sendet der Switch das Paket nur über Port 1.
Diese MAC-zu-Port-Beziehung wird in einer Tabelle im Switch gespeichert. Natürlich können sich viele Geräte hinter einem einzelnen Port befinden (wenn beispielsweise ein Switch an den Port angeschlossen ist), sodass einem einzelnen Port möglicherweise viele MAC-Adressen zugeordnet sind.
Dieser Algorithmus bricht ab, wenn die Tabelle nicht groß genug ist, um alle Beziehungen zu speichern (nicht genügend Speicher im Switch). In diesem Fall verliert der Switch Informationen und beginnt, Pakete an alle Ports zu senden. Dies kann leicht erreicht werden (jetzt wissen Sie, wie Sie Ihr Netzwerk hacken können), indem viele Pakete mit unterschiedlichen MACs von einem einzigen Port aus gefälscht werden. Sie können auch ein Paket mit dem MAC des Geräts fälschen, das Sie ausspionieren möchten, und der Switch sendet Ihnen den Datenverkehr für dieses Gerät.
Managed Switches können so konfiguriert werden, dass sie einen einzelnen MAC von einem Port (oder einer festen Nummer) akzeptieren. Wenn an diesem Port weitere MACs gefunden werden, kann der Switch den Port herunterfahren, um das Netzwerk zu schützen, oder eine Protokollnachricht an den Administrator senden.
BEARBEITEN:
Bezüglich des YouTube-Verkehrs funktioniert der oben beschriebene Algorithmus nur bei Unicast-Verkehr. Ethernet-Broadcast (als Beispiel ARP) und IP-Multicast (manchmal für Streaming verwendet) werden unterschiedlich gehandhabt. Ich weiß nicht, ob YouTube Multicast verwendet, aber es kann vorkommen, dass Sie nicht zu Ihnen gehörenden Datenverkehr spüren können.
Über den Webseitenverkehr ist dies seltsam, da der TCP-Handshake die MAC-Port-Tabelle korrekt eingestellt haben sollte. Entweder kaskadiert die Netzwerktopologie viele sehr kostengünstige Switches mit kleinen Tabellen, die immer voll sind, oder es wird mit dem Netzwerk herumgespielt.
quelle
Dies ist ein weit verbreitetes Missverständnis. Sofern es nicht statisch konfiguriert ist, muss ein Switch jedes Paket über jeden Port senden , von dem er nicht beweisen kann, dass er dieses Paket nicht weiterleiten muss.
Dies kann bedeuten, dass ein Paket nur an den Port gesendet wird, der das Zielgerät enthält. Dies kann aber nicht immer der Fall sein. Betrachten Sie beispielsweise das allererste Paket, das der Switch empfängt. Wie kann es wissen, an welchen Port es gesendet werden soll?
Das Unterdrücken des Versendens von Paketen am "falschen" Port ist eine Optimierung, die ein Switch verwendet, wenn er kann. Es ist kein Sicherheitsmerkmal. Verwaltete Switches bieten häufig die tatsächliche Port-Sicherheit.
quelle
Möglicherweise ist ARP Cache Poisoning in Kraft. Dies ist eine Technik, die häufig in böswilliger Absicht eingesetzt wird, um ein geschaltetes Netzwerk aufzuspüren. Dies wird erreicht, indem jeder Computer im Netzwerk davon überzeugt wird, dass jeder andere Computer Ihre MAC-Adresse hat (unter Verwendung des ARP-Protokolls). Dies veranlasst den Switch, alle Pakete an Ihren Computer weiterzuleiten - Sie möchten sie nach der Analyse weiterleiten. Dies wird häufig bei Man-in-the-Middle-Angriffen verwendet und ist in verschiedenen Sniffing-Tools wie Cain & Abel oder ettercap verfügbar.
quelle