Welche Art von Netzwerkangriff macht einen Switch zu einem Hub?

35

Ich habe heute einen Artikel gelesen, in dem beschrieben wird, wie ein Penetrationstester die Erstellung eines gefälschten Bankkontos mit einem Guthaben von 14 Millionen US-Dollar demonstrieren konnte. Ein Absatz, der den Angriff beschreibt, ist jedoch aufgefallen:

Dann "überflutete" er Switches - kleine Boxen, die den Datenverkehr leiten -, um das interne Netzwerk der Bank mit Daten zu überfüllen. Diese Art von Angriff macht den Switch zu einem "Hub", der Daten wahllos überträgt.

Der beschriebene Effekt ist mir nicht bekannt. Ist es wirklich möglich, einen Switch zu erzwingen, um den Datenverkehr an alle seine Häfen zu senden, indem massiv Datenverkehr gesendet wird? Was genau ist in dieser Situation los?

switch security Lucas
quelle
Einige andere Details in diesem Beitrag / Antwort: serverfault.com/questions/345670/… .
jfg956

Antworten:

62

Dies wird als MAC-Flooding bezeichnet . Eine "MAC-Adresse" ist eine Ethernet-Hardwareadresse. Ein Switch verwaltet eine CAM-Tabelle , die die MAC-Adressen den Ports zuordnet.

Wenn ein Switch ein Paket an eine MAC-Adresse senden muss, die nicht in seiner CAM-Tabelle enthalten ist, wird es wie ein Hub an alle Ports übertragen. Wenn Sie also einen Switch mit einer größeren Anzahl von MAC-Adressen überfluten, werden die Einträge legitimer MAC-Adressen aus der CAM-Tabelle erzwungen und der Datenverkehr wird an alle Ports überflutet.

David Schwartz
quelle
2
Tut der Schalter etwas, um dies zu verhindern oder einzuschränken?
TheLQ
17
Normalerweise nein, aber das ist nicht seine Aufgabe. Die Aufgabe eines Switches besteht darin, die Kommunikation zwischen Knoten in einem LAN zu erleichtern und keine Sicherheitsrichtlinien oder Filterinformationen zu implementieren. Schalter tun dies aus Versehen, weil sie die Dinge schneller machen, und die Leute denken dummerweise, dass dies Sicherheit ist. (Dasselbe passiert mit NAT.) Sicherheit, die "versehentlich" als Folge einer anderen Aktion bereitgestellt wird, sollte niemals als echte Sicherheit betrachtet werden. Es gibt sichere, verwaltete Switches, die Sicherheit bieten, genauso wie es NAT-Implementierungen gibt, die auch tatsächliche Firewalls enthalten.
David Schwartz
8

Dies wird als MAC-Flooding bezeichnet und nutzt die Tatsache, dass die CAM-Tabellen von Switches eine begrenzte Länge haben. Wenn sie überlaufen, verwandelt sich ein Switch in einen Hub und sendet jedes Paket an jeden Port, wodurch ein Netzwerk schnell zum Stillstand kommen kann.

Bearbeitet, um falsche Terminologie zu korrigieren.

Sven
quelle
1
Mit SvW war wahrscheinlich die MAC-Adresstabelle gemeint, in der MAC-Adressen physischen Ports zugeordnet sind. Die meisten Switches weisen hierfür eine begrenzte Speicherkapazität zu, die von einem Angreifer, der Frames von zufällig gefälschten MAC-Adressen sendet, leicht ausgeschöpft werden kann. Dies würde dazu führen, dass der Switch Frames an alle Ports für eine Ziel-MAC-Adresse sendet, die noch nicht in der Tabelle enthalten ist. Glücklicherweise kann dies durch Beschränken der Anzahl der MACs, die an einem bestimmten Port angezeigt werden können, verringert werden.
James Sneeringer
Richtiges Konzept, falsche Terminologie ... Nah genug für ein +1 von mir.
Chris S
@ ChrisS: Das war schon in der Frage. Alles, was die Antwort hinzufügte, war falsch.
David Schwartz
1
@DavidSchwartz: Nun, ich habe zwei Wörter bearbeitet, bei denen ich die Terminologie offensichtlich vertauscht habe, und jetzt ist die Antwort völlig richtig. Ehrlich gesagt wäre dies eine großartige Gelegenheit gewesen, die Bearbeitungsfunktion der Website selbst zu nutzen. Stattdessen verwenden Leute (nicht unbedingt Sie) es, um "das" in einem 2 Jahre alten Beitrag durch "das" zu ersetzen ...
Sven
@SvW: Ich dachte nicht, dass es offensichtlich ist, dass Sie nur die falsche Terminologie verwendet haben, dass Switches etwas mit ARP zu tun haben, ist eigentlich ein sehr verbreitetes Funktionsmissverständnis. Ich halte es nicht für angemessen, "Bearbeiten" zu verwenden, um die Antwort eines anderen vollständig zu ändern, selbst wenn sie nicht korrekt ist. (Vielleicht ist das eine schlechte Politik von meiner Seite. Ich werde nach Meta-Informationen suchen und herausfinden, ob ich in dieser Ansicht nicht im Mainstream bin.)
David Schwartz
0

Wie oben erläutert wurde, ist die MAC-Tabelle des Switches mit gefälschten Mac-Adressen "vergiftet". Dies ist mit dem macofProgramm aus der dsniffTool-Suite einfach zu bewerkstelligen. Achtung: Versuchen Sie dies nur zu Ausbildungszwecken in Ihrem eigenen Netzwerk, da Sie sonst in tiefe rechtliche Schwierigkeiten geraten!

http://www.monkey.org/~dugsong/dsniff/

Floyd
quelle