Por que um farejador de pacotes em uma LAN Ethernet obtém todos os pacotes enviados pela LAN?

7

Por que um farejador de pacotes em uma LAN Ethernet obtém todos os pacotes enviados pela LAN?

Em um ambiente de transmissão limitado, como em muitas LANs Ethernet, um farejador de pacotes pode obter todos os pacotes enviados pela LAN.

Sabemos que, se houver uma rede Wi-Fi, podemos usar um sniffer de pacotes para capturá-los, mas e uma LAN Ethernet com fio?

ethernet 244boy
fonte
7
Você pode compartilhar de onde veio essa cotação?
User3629081

Respostas:

20

Na Ethernet clássica (obsoleta), foram utilizados hubs de fio ou repetidor compartilhados. Portanto, cada nó recebe fisicamente todos os quadros enviados no domínio de broadcast (e colisão). Os quadros recebidos, mas não endereçados ao endereço MAC de uma NIC, são ignorados (descartados).

Nas últimas duas décadas, mais ou menos, Ethernet compartilhada ou repetida é obsoleta. Na Ethernet comutada, cada quadro é encaminhado apenas na direção de seu destino. Para acessar uma comunicação Ethernet, é necessário escutar diretamente na porta de origem ou destino ou via espelhamento de porta (também conhecido como monitoramento de porta ou SPAN) [editar após comentários] e modo promíscuo na NIC de captura, é claro.

Zac67
fonte
Comentários não são para discussão prolongada; esta conversa foi movida para o bate-papo .
Ron Maupin
7

Por que em uma LAN Ethernet, um farejador de pacotes pode obter todos os pacotes enviados pela LAN?

Isso não é necessariamente verdade. Na ethernet comutada (redes modernas), você só pode cheirar os quadros ethernet que são enviados para a interface do comutador em que o dispositivo monitor está conectado. Isso pode acontecer de algumas maneiras:

  • Os quadros de transmissão são enviados para todas as outras interfaces
  • Os quadros multicast, na ausência de espionagem IGMP, são enviados para todas as outras interfaces
  • Os quadros unicast desconhecidos são enviados para todas as outras interfaces
  • Alguns comutadores podem ser configurados para espelhar todos os quadros em uma interface

Além do acima, apenas os quadros endereçados ao seu dispositivo de monitor são enviados para a interface em que está conectado.

Além disso, ao usar VLANs, apenas os quadros na mesma VLAN podem acessar a interface em que o dispositivo do seu monitor está conectado. Para obter tráfego de uma VLAN para outra, a VLAN requer um roteador, que retira os quadros dos pacotes para encaminhar os pacotes, criando novos quadros para a próxima interface do roteador.

Ron Maupin
fonte
Se o dispositivo estiver na VLAN padrão / de gerenciamento ou em uma VLAN de tronco completo (como é o caso dos switches de empilhamento; embora isso provavelmente cause problemas se você começar a falsificar respostas MAC / ARP / ND nele), o dispositivo sniffing poderá ouvir todos os VLAN. Além disso, os NSAs passivos (especificamente aqueles para SPI / IDS / etc.) Usam envenenamento passivo do ARP Cache especificamente com o objetivo de extrair pacotes destinados a outros segmentos de rede. Além disso, WAN dispositivos com segurança avançada pode ser configurado para envenenar deliberadamente tudo ARP armazena em cache para que todo o tráfego é encaminhado através dele, mesmo que seja destinado para o mesmo segmento
Dylan Bennett
3
Seu comentário realmente não tem nada a ver com conectar um sniffer a uma rede com fio. A pergunta pressupõe que, ao fazê-lo, o sniffer verá todos os quadros, mas esse não é realmente o caso em uma rede comutada. Você parece estar exagerando na questão, que se baseia em um texto que pressupõe Ethernet coaxial ou no uso de hubs praticamente extintos. O OP apenas precisava de algumas orientações para explicar que esse não é mais o caso.
Ron Maupin
0

Isto é conseguido através de um dos poucos métodos possíveis ...

De longe, o mais comum é colocar a interface no modo promíscuo. Quase todas as NICs podem ser colocadas no modo promíscuo. Isso remove o "filtro" que ignora os pacotes não destinados à sua interface. Isso também deve ser feito para uma interface sem fio para "ouvir" as "conversas" na rede. Uma placa sem fio também pode ser colocada no modo de monitor, que difere do modo promíscuo, pois a interface sem fio não está associada a nenhum AP, Ad-Hoc ou outra interface sem fio singular, mas, em vez disso, está atendendo a todos os pacotes decifráveis ​​nas ondas de ar ( observe que, se um ponto de acesso for criptografado via WEP / WPA (2), os pacotes recebidos no modo monitor em uma placa sem fio de dispositivos parte dessa WLAN serão indecifráveis ​​(embora algumas informações possam ser obtidas que possam ajudar a "quebrar"

De volta ao modo promíscuo em ethernet ... enquanto a técnica é simples e não requer utilitários especiais (pelo menos no Linux) ou alterações na topologia de rede / ponto de toque (onde o dispositivo está conectado), existem algumas limitações. Sendo eles: 1) a NIC pode pegar tráfego apenas em seu segmento de rede. Um hub Ethernet é semelhante a um divisor coaxial (cabo); ele simplesmente encaminha pacotes para todas as interfaces (exceto a interface na qual o pacote foi recebido). Portanto, se conectado a um hub, uma placa Ethernet no modo promíscuo (promisc) verá pacotes enviados para e de todos os dispositivos conectados ao mesmo hub. Se a rede possuir vários hubs em série, a NIC verá todo o tráfego desse segmento até que um dispositivo de encaminhamento inteligente, como um switch ou roteador, seja alcançado.

Todas as NICs ainda receberão pacotes de difusão (pacotes enviados indiscriminadamente por toda a rede - geralmente para controle de rede e descoberta de host), e no modo promíscuo pode ser feito para receber todos os pacotes multicast, mesmo se a NIC não pertencer ao grupo multicast. Se configurados corretamente e ativados, todos os pacotes anycast (semelhantes à transmissão, mas para protocolos de controle que não são de rede e geralmente usados ​​em redes WAN multiuso, como cabo / banda larga que compartilham o mesmo meio) também podem ser recebidos, como bem como pacotes de simulcast em alguns casos (pacotes transmitidos para vários hosts distintos). Pacotes de difusão e difusão seletiva (pacotes de difusão seletiva são principalmente para o protocolo de gerenciamento de grupo IGMP-Internet) podem ajudar a obter uma imagem bastante precisa da topologia da rede se analisada corretamente. Além disso, pingando o endereço de broadcast da rede (quase sempre o último IP da rede; o sinalizador -b é necessário no linux e geralmente falha no Windows), o dispositivo receberá uma resposta de todos os computadores (que não esteja configurado para não responder à broadcast) pings e, se não for bloqueado por uma regra em uma NSA) na rede. Se houver várias redes coexistindo na rede, executar ping no endereço "allcast" (255.255.255.255) pode gerar uma resposta ilícita de dispositivos em uma sub-rede diferente se a NIC estiver no modo promíscuo.

Para receber todo o tráfego em uma rede Ethernet

Isso fica um pouco mais complicado, dependendo da infraestrutura de rede, e existem algumas maneiras de obter sucesso.

Como discutido anteriormente, se uma rede consistir apenas em hubs "burros" e em um único segmento (por meio de uma rede ad-hoc sem estação / sem roteador / WAN isolada de dispositivos interconectados ou por uma única ponte de WAN para LAN, alimentando um malha de hubs "burros"), basta colocar a NIC no modo promíscuo. Se a rede consistir em uma topologia diversificada e alternar em vez de hubs, esse é um processo muito mais complexo. Primeiro, a NIC deve ser colocada no modo promíscuo. Em seguida, uma decisão deve ser tomada com base no hardware e na topologia da rede.

Opções

1) Considere uma rede comercial padrão que consiste em um dispositivo WAN conectado ao ISP (geralmente chamado de "modem" ou "roteador"); no entanto, geralmente o dispositivo é realmente um dispositivo NAT - que permite que muitos dispositivos internos compartilhem apenas um ou mais dispositivos. poucos endereços IP públicos, em redes IPv6, esses dispositivos geralmente executam o roteamento IGMPv6, mas isso está além do escopo desta redação) e conectado ao dispositivo WAN é um L3 principal (geralmente com alguns recursos de roteamento L4) inteligente, gerenciado (configurável ) interruptor. A Ethernet se estende do comutador principal a diferentes departamentos ou pisos que geralmente possuem comutadores não gerenciados (L2 simples, às vezes com recursos de filtro L3) que se conectam a cada computador, impressora, ponto de acesso sem fio, etc. Se você tiver acesso de administrador ao comutador principal ...é possível ativar o que é chamado de espelhamento de porta - dependendo da configuração, você poderá criar uma única porta de "toque" que tenha todo o tráfego destinado a outras portas também encaminhadas para ela. Este é de longe o método mais eficaz, pois TODOSo pacote na rede fluirá para sua NIC promíscua e poderá ser capturado com um programa como o Wireshark. Esse método também ignora os protocolos de segurança que podem existir em sua rede e podem bloquear outros métodos possíveis, como a falsificação de arp, que abordarei em breve. Às vezes, os comutadores (geralmente gerenciados de extremidade inferior) suportam apenas o espelhamento de uma única porta de cada vez; nesse caso, a clonagem da porta no comutador conectado ao dispositivo WAN deve fornecer a maior parte do tráfego, pois pode ser assumido a maior parte do tráfego é direcionado para a Internet e, mesmo que não seja, o dispositivo WAN (em uma rede complexa) geralmente é um roteador central com vários protocolos e recebe quase todos os pacotes por padrão. Outra porta única para clonar, se dois comutadores estiverem "empilhados" (o que significa que eles são interconectados por meio de um tronco para servir como um único comutador virtual - para oferecer suporte a uma capacidade maior); em seguida, espelhar uma / a porta de tronco é uma boa opção (isso também ignorará determinadas criptografia de segurança de encapsulamento se a rede estiver subdividida em VLANs, como o tronco carrega todas as VLANs). Nessa linha, também pode ser necessário garantir que, ao criar um espelho universal (uma porta que retransmita todo o tráfego através do comutador), sua NIC possa precisar ser configurada para usar a VLAN padrão / VLAN de tronco (VLAN que carrega todas as outras VLANs), bem como o modo promíscuo. Observe que isso provavelmente também sobrecarregará sua rede; portanto, deve ser utilizado apenas para fins de depuração ou relacionados,

2) Outra opção viável é "tocar" na rede mecanicamente. Isso pode ser feito colocando um hub de rede entre algum segmento da rede (ao longo do tronco de dois comutadores empilhados, entre o comutador principal e a WAN ou entre o ISP e a WAN, todas são opções viáveis, embora devido a protocolos NAT , ir entre a WAN e o ISP pode dificultar a determinação de qual pacote veio de qual dispositivo). Simplesmente interconecte o segmento com o hub no centro, usando 2 cabos ethernet extras - um no seu dispositivo de escuta e outro para concluir a conexão original (você DEVE USAR UM HUB PARA ISSO, NÃO UM INTERRUPTOR). Existe um dispositivo especialmente criado para isso, que tem alguns benefícios adicionais de impedir vazamentos do seu dispositivo - mantendo seu farejador oculto, impedindo a degradação do sinal e da velocidade na conexão original e filtrando os cabeçalhos de VLAN para facilitar a configuração - é feita para o Wireshark e acredito que você pode encontrá-lo no site deles - acho que é chamado de 'toque de tubarão' ou algo assim. É muito caro e não essencial. Isso também pode ser alcançado através de 2 NICs em ponte no mesmo computador, que pode ser configurado como um switch ou roteador não autorizado paraatrair pacotes, mas, para isso, sugiro que você veja alguns tutoriais (muito parecidos com o uso de duas NICs sem fio para criar uma indicação MITM).

3) Em seguida, temos uma opção que não requer nenhuma alteração da infraestrutura de rede existente. Na verdade, existem três táticas semi-relacionadas que podem precisar ser empregadas em conjunto, dependendo da segurança da sua rede. Novamente, o modo promíscuo é necessário. O primeiro é chamado de falsificação de ARP. Isso é muito eficaz na maioria das redes corporativas domésticas e mais simples, mas será rapidamente detectado pelas tecnologias anti-intrusão / de proteção da privacidade, especialmente em uma rede inteligente sofisticada, na qual cada comutador pode se comunicar. Como mencionei, os switches funcionam usando o protocolo ARP para IPv4 e ND para IPv6. O IPv4 ainda é a principal tecnologia usada para endereçar em LANs (principalmente devido ao fato de que os engenheiros de rede estão em seus caminhos e a subarrendamento de IPv6 é muito mais difícil, além de apresentar uma série de novos conceitos para aprender - os endereços IPv4 também costumam ser muito mais fáceis de lembrar) e, portanto, o uso de falsificação ARP geralmente é suficiente (também a falsificação ND também é possível e utiliza conceitos semelhantes). Existem vários programas que podem executar arp spoofing (quase todas as linhas de comando do linux, você pode fazer uma pesquisa sobre o assunto por tutoriais sobre isso). O ARP é um protocolo usado em computadores e (principalmente para este aplicativo) comutadores, para associar o MAC (endereços físicos) aos endereços IPv4. O protocolo é simples: na ausência do IGMP, o endereço de broadcast da sub-rede é usado principalmente, um pacote de solicitação é enviado na forma de "quem possui [endereço IP]? Informar [meu endereço IP]" em resposta, geralmente o comutador principal ou o dispositivo com o IP solicitado (no entanto, pode ser qualquer dispositivo na rede que saiba a resposta) responde com [o IP que você estava procurando] está em [endereço MAC]. Se uma resposta não for recebida, um pacote será enviado na transmissão padrão 255.255.255.255; em alguns casos, o curinga 0.0.0.0 será consultado, com IGMP, endereços de site local e rede local. Além disso, alguns sistemas operacionais enviaram a solicitação ao gateway ou ao switch padrão. A falsificação de ARP envolve responder com autoridade a todas as solicitações de ARP. Além disso, as respostas ARP são enviadas de forma agressiva e, com o IGMP ativado na rede, para todas as interfaces IGMP e todos os endereços de broadcast (se existirem várias sub-redes), bem como o gateway padrão (se desejado) e / ou o switch padrão . Isso resulta no que é conhecido como envenenamento por cache ARP. Isso é, os dispositivos de controle de rede (comutadores, roteadores, gateways) agora apontam apenas para você ao tentar conversar com outros dispositivos específicos, ou mais desejáveis, assumem um loop ou falha de rede e fallback para hub como comportamento - ou seja, todos os pacotes destinados a todos os outros os dispositivos de rede também são enviados diretamente para você / seu segmento de rede. O procedimento é fácil de entender, em suas raízes. Em seguida, o modo promíscuo cuida do resto e você pode ouvir todas as conversas. Também é possível representar apenas o comutador principal, ou apenas o dispositivo WAN, que recebe 90% dos pacotes que atravessam a rede na maioria dos casos - a exceção são os protocolos que usam IPv6 (e alguns protocolos IPv4 raros, que geralmente requerem o criação de conexões ponto a ponto temporárias, enquanto o IPv6 sempre estabelece endereços de link local fe80 para esse fim) para contornar a infraestrutura de rede (se no mesmo segmento) e conversar diretamente entre si. Um exemplo disso é o protocolo appletalk para comunicação e serviços entre computadores Mac no mesmo segmento de rede.

O problema é que o hardware de rede mais avançado, especialmente se existir um firewall de rede ou NSA mais avançado ou for o dispositivo WAN principal ou ficar entre o comutador de rede / principal e a WAN (como é o caso em muitas situações), esse dispositivo será frequentemente detecta a tentativa de detecção e, em resposta, bloqueia automaticamente todo o tráfego para o MAC (phy) ou IPv4 designado, encerra o segmento por completo ou simplesmente ignora o local recém-anunciado - que funciona bem em uma rede de desktops onde a posição de uma máquina está é improvável que seja alterado (isso seria improvável em uma configuração doméstica média, onde o tráfego seria simplesmente roteado / alternado para os dois dispositivos). No entanto, devido ao roaming de ponto de acesso sem fio, o que significa que um dispositivo pode pular de um segmento para outro, geralmente mais rápido que a atualização dos caches APR (usuário configurado em comutadores gerenciados e estático em comutadores não gerenciados, de 30 segundos ou menos para uma rede fortemente sem fio a 60 segundos para um ambiente misto, até meia hora ou mais para uma rede que muda com pouca frequência - tempos limite mais curtos são preferidos devido à tolerância a failover mais rápida e menos tráfego mal direcionado, mas períodos mais longos podem economizar a sobrecarga do protocolo ARP em ethernet estático). Isso também se torna menos problemático quando o dispositivo de segurança principal fica no switch principal ou nos switches não gerenciados por WAN e interconectados, direciona o tráfego por grandes segmentos. Nesse caso, o envenenamento por ARP pode simplesmente afetar um grande segmento da rede sem acionar um dispositivo de segurança. Outros fatores influenciam isso, como Protocolos como STP (abrangendo três protocolos, que é projetado para atualizar a topologia de rede conhecida pelos comutadores no caso de uma alteração de topologia, como se um comutador fosse movido de uma porta para outra). Na verdade, em redes mal configuradas com STP e IGMP, simplesmente desconectar um dispositivo e conectá-lo a uma porta de switch diferente acionará o que é conhecido como inundação IGMP, o que fará com que todos os comutadores se comportem de maneira semelhante aos hubs "burros", até o ARP o cache é sincronizado entre os dispositivos - durante o qual todo o tráfego se torna visível por um período geralmente igual ao tempo limite máximo do cache do ARP do dispositivo, em todas as interfaces.

Adicionalmente, ou em conjunto com a falsificação de ARP / envenenamento de cache, a falsificação de MAC às vezes pode ser empregada, para enganar os dispositivos de segurança junto com a envenenamento de cache de ARP ou simplesmente por conta própria. Uma boa tática seria clonar o MAC (comando macchanger no linux) do dispositivo WAN geralmente é uma técnica promissora. Às vezes, configurar seu IP para um IP estático igual ao seu alvo é suficiente para enganar os protocolos de roteamento para enviar tráfego não destinado a você - novamente, algo que pode ser benéfico além da falsificação de ARP. A clonagem do nome do host pode ajudar a evitar a detecção.

Se seu objetivo é depurar (ou espionar) uma única máquina de destino, provavelmente é melhor combinar tudo o que foi discutido aqui, da melhor maneira possível. Tente colocar seu dispositivo de escuta no segmento de rede do dispositivo de destino. Então tudo que você precisa é o modo promíscuo ativado. Se isso não for uma opção, tente obter pelo menos o mesmo segmento do switch principal que o seu destino e use envenenamento por cache / spoofing ARP menos agressivo e / ou clonagem MAC (possivelmente clonando o IP também, embora uma interface seja promíscua) o modo não deve precisar de um IP atribuído e isso pode resultar na exclusão de ambos os dispositivos da rede); se tudo mais falhar, use envenenamento agressivo por ARP. Lembre-se também de que é possível executar a falsificação de ARP em um único destino, corrompendo o cache de uma máquina, fazendo com que ele envie pacotes para você em vez do destino pretendido. Esse tipo de envenenamento por ARP ativo funciona melhor quando você está encaminhando pacotes ativamente para a eliminação pretendida - ou o dispositivo simplesmente não responde, resultando na vítima que acredita ter uma conexão interrompida, embora se existam várias entradas ou que sejam recebidas respostas conflitantes a um Na solicitação de ARP, é normal que o dispositivo envie pacotes para todos os dispositivos, aquele que responde se torna a entrada de cache semi-permanente, enquanto, dependendo do sistema, a entrada incorreta geralmente fica na lista negra por um período, por isso, usando o MITM ( homem no meio) encaminhamento é prática batida.

Se seu objetivo é simplesmente depurar uma rede, colocar sua placa ethernet no modo promíscuo permitirá coletar muitas informações sobre sua rede, você verá quase todas as mensagens de controle de rede e terá uma boa idéia de quais dispositivos são os mais ativo e veja alguns pacotes unicast enviados antes que uma tabela ARP de dispositivos seja preenchida. Isso não requer falsificação e é totalmente automatizado no wireshark e pode ser feito com o ifconfig { sudo ifconfig eth# mode promisc' orsudo ifconfig eth # promisc '(se estou pensando direito)} no linux; da mesma forma, se houver suporte, a recepção anycast também pode ser ativada.

Deve-se observar que, dependendo do firmware da sua placa de rede, os drivers instalados, se você estiver usando win ou linux, etc., basta ativar o modo promíscuo no adaptador, muitas vezes habilita uma forma de falsificação ARP passiva para permitir a recepção de todos (ou mais , pelo menos no seu segmento) pacotes unicast. No entanto, o uso de envenenamento de cache ARP ativo e agressivo é muito mais eficaz se for necessário monitorar todo o tráfego em todos os segmentos de rede a partir de um segmento de rede remoto. Não é garantido que haja atividades ARP, no entanto, apenas permita a recepção de todos os pacotes que viajam através do fio

Observe que, porque muitos dispositivos de segurança contam com o envenenamento de cache ARP para serem inseridos na rede e farejam passivamente todo o tráfego de entrada para detectar padrões estranhos e alarmes de disparo, e porque um dispositivo WiFi agressivamente móvel pode estar constantemente associado a pontos de acesso em diferentes segmentos mais rapidamente do que o Tempo limite do cache ARP - aparecendo efetivamente como estando presente em dois locais da perspectiva do controle de rede, embora não esteja fazendo nada de mal-intencionado, a maioria dos hardwares de rede permitirá falsificação de ARP, a menos que seja desativado manualmente em ambientes de alta segurança (e mesmo assim, é uma desvantagem) pois evita dispositivos de escuta passiva / DPI / IPS / IDS. Se você conhece o MAC desse dispositivo, clonar seu MAC para combiná-lo e executar seu próprio envenenamento por cache ARP é provavelmente a sua melhor aposta. Também é esperado que,desde que o dispositivo ARP não autorizado esteja no lado interno (lado da LAN) do dispositivo WAN, essa segurança física deve impedir que dispositivos não autorizados apareçam internamente e, portanto, é considerada uma ameaça menor.

Antigamente, quando os switches eram novos e muito caros, e os hubs eram a principal maneira de interconectar vários segmentos de rede, era possível ver todo o tráfego de qualquer parte de uma grande rede, no entanto, isso obviamente era menos do que o ideal - como congestionamento na rede era extremamente alta - ao ponto de instabilidade de até LANs médias

OBSERVAÇÃO QUE A MAIORIA DO TRÁFEGO ATUALMENTE ESTÁ CRIPTOGRAFADO ATRAVÉS DE TLS, ASSIM QUE VOCÊ PODE CAPTURAR CONEXÕES, E ASSISTIR QUE DISPOSITIVO ESTÁ CONECTADO A ONDE, VOCÊ NÃO PODERÁ DECIPIFICAR 95% DAS CONVERSAS.

ALGUNS COMANDOS ÚTEIS envia ping ou traceroute TCP | UDP | UDPLITE | ICMP em vez de ping traceroute / ICMP padrão UDP; O sinalizador ping -e fornece informações sobre o encapsulamento de pacotes, observe que o envenenamento por ARP não será bem-sucedido por meio de um túnel MPLS / VPN ou por um segmento de rede roteado L4 ou por VLANs, a menos que o dispositivo sniffing esteja na VLAN padrão (como 2 departamentos com um roteador interno no meio, cada um em diferentes sub-redes / redes - isso cria uma barreira que os pacotes atravessam apenas se cumprirem regras predefinidas feitas pelo administrador). do curso apt / yum / dnf / apt-get [search | install] ou rpm -i para um pacote pré-baixado no fedora / RHEL (gerenciadores de pacotes para instalar qualquer software ausente) envia ping ou traceroute TCP | UDP | UDPLITE | ICMP em vez de ping traceroute / ICMP padrão UDP; O sinalizador ping -e fornece informações sobre o encapsulamento de pacotes, observe que o envenenamento por ARP não será bem-sucedido por meio de um túnel MPLS / VPN ou por um segmento de rede roteado L4 ou por VLANs, a menos que o dispositivo sniffing esteja na VLAN padrão (como 2 departamentos com um roteador interno no meio, cada um em diferentes sub-redes / redes - isso cria uma barreira que os pacotes atravessam apenas se cumprirem regras predefinidas feitas pelo administrador). do curso apt / yum / dnf / apt-get [search | install] ou rpm -i para um pacote pré-baixado no fedora / RHEL (gerenciadores de pacotes para instalar qualquer software ausente) observe que o envenenamento por ARP não será bem-sucedido por meio de um túnel MPLS / VPN ou por um segmento de rede roteado L4 ou por VLANs, a menos que o dispositivo de detecção esteja na VLAN padrão (como 2 departamentos com um roteador interno no meio, cada um em diferentes sub-redes / redes - isso cria uma barreira que os pacotes atravessam apenas se cumprirem regras predefinidas feitas pelo administrador). do curso apt / yum / dnf / apt-get [search | install] ou rpm -i para um pacote pré-baixado no fedora / RHEL (gerenciadores de pacotes para instalar qualquer software ausente) observe que o envenenamento por ARP não será bem-sucedido por meio de um túnel MPLS / VPN ou por um segmento de rede roteado L4 ou por VLANs, a menos que o dispositivo de detecção esteja na VLAN padrão (como 2 departamentos com um roteador interno no meio, cada um em diferentes sub-redes / redes - isso cria uma barreira que os pacotes atravessam apenas se cumprirem regras predefinidas feitas pelo administrador). do curso apt / yum / dnf / apt-get [search | install] ou rpm -i para um pacote pré-baixado no fedora / RHEL (gerenciadores de pacotes para instalar qualquer software ausente)

AVISO LEGAL (APENAS PARA USO RESPONSÁVEL DE INFORMAÇÃO): qualquer informação relacionada à detecção potencial de fuga por dispositivos de segurança, espionagem de um alvo ou alvos ou realização de qualquer outra atividade que possa ser considerada "hacking", "cracking", "personificação" (digital ou caso contrário) ou "falsificação", e / ou toda e qualquer informação aqui fornecida, que possa ser usada de maneira maliciosa e / ou ilegal (pela definição mais vaga do termo e da lei em qualquer jurisdição), é fornecida para apenas para fins informativos, não como um tutorial ou conselho sobre como realizar essas atividades mencionadas. Nada do escrito acima constitui conselho ou incentivo para cometer um crime ou infringir uma lei, nem causar danos a qualquer indivíduo. Essas informações foram fornecidas estritamente para fins hipotéticos e, portanto, devem e devem ser consideradas hipotéticas em todos os aspectos. Qualquer tentativa de um indivíduo de usar essas informações de uma maneira proibida aqui, ou de outra forma, por raciocínio de senso comum, moralmente injusto ou errado, ou de uma maneira proibida pelos termos de serviço do editor, não refletirá qualquer responsabilidade sobre os redator do conteúdo, nem o editor, sob nenhuma circunstância, em nenhuma jurisdição. Exceto em relação aos direitos autorais, esta declaração complementa totalmente os termos de serviço do editor. O aviso de direitos autorais contido neste documento (2019) substitui qualquer reivindicação de material pelo editor. O (s) autor (es) (Cryptostack Services LLC e Dylan J. Bennett) terão igual e todos os direitos de copiar e / ou republicar e / ou excluir este material mediante solicitação e / ou desejo. O (s) autor (es), mencionado acima entre parênteses, reservará todo o poder dos direitos autorais e de todos os Direitos sob o DMCA. Isso é complementar aos termos de serviço do site em que o autor está publicando. Ninguém pode copiar ou republicar essas informações em qualquer outro meio (eletrônico ou analógico) que não seja o meio de postagem original (subfórum de troca de pilhas para perguntas relacionadas à rede). A violação de tal solicitação constituirá indenização responsável por reparações monetárias. A violação constitui renúncia voluntária, por violador, do direito a julgamento pelo juiz ou júri, no caso em que o autor busca reparação civil por quaisquer danos incorridos - o autor, no entanto, reserva-se o direito de entrar com uma ação civil no distrito sul de Nova York ou outro tribunal nas proximidades ou escolha Arbitragem pela empresa escolhida pelo autor no estado de Nova York, EUA. A publicação neste fórum não renuncia aos direitos do autor de propriedade exclusiva, privilégios de cópia, capacidade de buscar danos, etc., independentemente dos termos de serviço declarados pelo editor. Esta declaração é complementar a quaisquer termos ou uso e / ou serviço do editor e substituirá quaisquer materiais anteriores a esta declaração. No caso de contradição entre os termos do editor e esses termos, isso será considerado superior. Pressupõe-se que o editor esteja ciente e responsável pelo conteúdo em seu meio e, como tal, poderá remover intencionalmente todo o conteúdo desta postagem, se ela estiver em desacordo. A falha na remoção de todo o conteúdo postado pelo autor é uma violação aqui. Além disso, o autor e o editor renunciam a qualquer responsabilidade por danos causados ​​pelas informações e métodos contidos nesta publicação, pois todas as informações foram compiladas de outras fontes disponíveis publicamente e, portanto, o objetivo desta publicação é servir apenas ao único propósito de fornecer acesso a informações já publicadas. conhecimento disponível com o objetivo de responder a uma pergunta feita por um indivíduo que, para o conhecimento do escritor e do editor, não representa ameaça a qualquer indivíduo, organização ou outra forma. Esta declaração destina-se a proteger o autor (declarado acima) e o editor da responsabilidade. A declaração foi redigida pelo autor (indicado acima) na totalidade deste post. O idioma desta declaração é o inglês simples e não deve ser super interpretado. A interpretação do senso comum é necessária. e, portanto, o objetivo deste post é servir apenas ao único objetivo de fornecer acesso ao conhecimento já disponível com o objetivo de responder a uma pergunta feita por um indivíduo que, para o conhecimento do escritor e do editor, não representa ameaça a qualquer indivíduo, organização ou organização. de outra forma. Esta declaração destina-se a proteger o autor (declarado acima) e o editor da responsabilidade. A declaração foi redigida pelo autor (indicado acima) na totalidade deste post. O idioma desta declaração é o inglês simples e não deve ser super interpretado. A interpretação do senso comum é necessária. e, portanto, o objetivo deste post é servir apenas ao único objetivo de fornecer acesso ao conhecimento já disponível com o objetivo de responder a uma pergunta feita por um indivíduo que, para o conhecimento do escritor e do editor, não representa ameaça a qualquer indivíduo, organização ou organização. de outra forma. Esta declaração destina-se a proteger o autor (declarado acima) e o editor da responsabilidade. A declaração foi redigida pelo autor (indicado acima) na totalidade deste post. O idioma desta declaração é o inglês simples e não deve ser super interpretado. A interpretação do senso comum é necessária. não representa ameaça a qualquer indivíduo, organização ou de outra forma. Esta declaração destina-se a proteger o autor (declarado acima) e o editor da responsabilidade. A declaração foi redigida pelo autor (indicado acima) na totalidade deste post. O idioma desta declaração é o inglês simples e não deve ser super interpretado. A interpretação do senso comum é necessária. não representa ameaça a qualquer indivíduo, organização ou de outra forma. Esta declaração destina-se a proteger o autor (declarado acima) e o editor da responsabilidade. A declaração foi redigida pelo autor (indicado acima) na totalidade deste post. O idioma desta declaração é o inglês simples e não deve ser super interpretado. A interpretação do senso comum é necessária.

Dylan Bennett
fonte
2
Leia até certo ponto, mas com muito texto e muitos problemas (confusos, parcialmente corretos ou completamente incorretos) na primeira meia dúzia de parágrafos, não parece valer a pena continuar. Por exemplo (ajuste de comprimento), um comutador A usa um protocolo conhecido como ARP ou ND para descobrir os endereços MAC de todos os dispositivos conectados a cada interface - um comutador não exige nem o ARP nem o ND para aprender endereços MAC para uma tabela de encaminhamento L2. Ou pacotes multicast são principalmente para o protocolo de gerenciamento de grupo IGMP-Internet - simplesmente errado. Muitos problemas para caber em um comentário (ou seja, limite de caracteres).
YLearn
11
O IGMP é usado para gerenciar a associação ao grupo multicast. Embora o IGMP possa ser a fonte primária de multicast nas redes com as quais você está familiarizado, os pacotes multicast não são principalmente para IGMP nem a fonte primária em muitas redes. Quanto à coisa ARP / ND, releia o terceiro parágrafo em que você diz exatamente isso, sem mencionar uma opção L3. Entendo o que é ARP / ND / IGMP, o que é uma tabela ARP / como é usada e tudo sem fazer nenhuma pesquisa ou "verificação de fatos". Releia sua própria postagem e verifique se o que você realmente postou é preciso, pois pode não aparecer como pretendido.
YLearn
5
Suspeito que o Stack Exchange não ficaria satisfeito em ver tal aviso em qualquer resposta em seu site, embora eu nunca tenha encontrado um aqui antes.
Presidente James K. Polk
3
Re " O (s) autor (es), mencionado acima entre parênteses, reservará todo o poder dos direitos autorais e de todos os direitos sob o DMCA. ", Na verdade, ao publicar neste site, você concorda em renunciar a alguns poderes.
Ikegami
4
O @JamesKPolk, SE deixou claro que, em todos os seus termos de serviço / juridico, o fato de um usuário postar efetivamente entrar em um contrato indica que qualquer conteúdo publicado é coberto pela licença CC-BY-SA. Eu verifiquei rapidamente a meta e não encontrei nenhuma resposta definitiva sobre se esse aviso deve ser removido. No entanto, apesar da IANAL, acredito que, ao postar em um site da SE, o usuário estipula que concorda que o conteúdo é coberto pelo CC-BY-SA e que eles não teriam o direito de alterar esses termos sem o consentimento da SE. Como tal, o aviso é pelo menos em parte sem sentido.
YLearn