Como o software de detecção de rede funciona em um switch?

18

Temos vários comutadores 3com não gerenciados padrão em uma rede. Eu pensei que os switches deveriam enviar apenas pacotes entre os pares de uma conexão.

No entanto, parece que o software de detecção de rede em execução em um computador conectado a qualquer um dos comutadores é capaz de detectar tráfego (por exemplo, streaming de vídeo do youtube, páginas da Web) de outros computadores host conectados a outros comutadores da rede.

Isso é possível ou a rede está completamente quebrada?

Can Kavaklıoğlu
fonte
11
Talvez, você precisa olhar para este post: serverfault.com/questions/214881/ethernet-network-topology
Khaled
Minha experiência sugere uma situação mais parecida com a da resposta de David. O computador farejador parece estar recebendo não alguns, mas todos os pacotes, mas todos os outros computadores estão transmitindo.
Pode Kavaklıoğlu
Você tem certeza de que não está apenas vendo o tráfego de transmissão no software de detecção? Só porque você vê alguma coisa, não significa que você está vendo tudo.
precisa saber é o seguinte

Respostas:

22

Para concluir a resposta de David, um switch descobre quem está atrás de uma porta, observando os endereços MAC dos pacotes recebidos nessa porta. Quando o interruptor está ligado, ele não sabe nada. Depois que o dispositivo A envia um pacote da porta 1 para o dispositivo B, o switch descobre que o dispositivo A está atrás da porta 1 e envia o pacote para todas as portas. Depois que o dispositivo B responde a A da porta 2, o switch envia apenas o pacote na porta 1.

Esse relacionamento de MAC para porta é armazenado em uma tabela no switch. Obviamente, muitos dispositivos podem estar atrás de uma única porta (se um switch estiver conectado à porta como exemplo), portanto, pode haver muitos endereços MAC associados a uma única porta.

Esse algoritmo é interrompido quando a tabela não é grande o suficiente para armazenar todos os relacionamentos (não há memória suficiente no comutador). Nesse caso, o switch perde informações e começa a enviar pacotes para todas as portas. Isso pode ser feito facilmente (agora você sabe como hackear sua rede) forjando muitos pacotes com diferentes MAC a partir de uma única porta. Isso também pode ser feito forjando um pacote com o MAC do dispositivo que você deseja espionar, e o switch começará a enviar o tráfego para esse dispositivo.

Os comutadores gerenciados podem ser configurados para aceitar um único MAC de uma porta (ou um número fixo). Se mais MACs forem encontrados nessa porta, o switch poderá encerrá-la para proteger a rede ou enviar uma mensagem de log ao administrador.

EDITAR:

Sobre o tráfego do youtube, o algoritmo descrito acima funciona apenas no tráfego unicast. A transmissão Ethernet (ARP como exemplo) e o multicast IP (usado algumas vezes para streaming) são tratados de maneira diferente. Não sei se o youtube usa multicast, mas pode ser um caso em que você pode detectar o tráfego que não pertence a você.

Sobre o tráfego de páginas da Web, isso é estranho, pois o handshake TCP deve ter configurado o MAC para a tabela de portas corretamente. A topologia de rede faz cascata de muitos switches muito baratos com pequenas tabelas sempre cheias ou alguém está mexendo com a rede.

jfg956
fonte
Vou tentar aprender modelos de switches e reportar. O culpado poderia ser um comutador barato localizado na parte superior da topologia de rede? Eu acho que se torna ainda mais complicado nesse caso. Qual seria a política de um comutador se um pacote que não pertence a nenhuma de suas portas chegasse do comutador barato localizado acima de si na topologia?
Pode Kavaklıoğlu
Se um pacote chegar a um comutador e o endereço MAC de destino desse pacote não for conhecido, o pacote será enviado para todas as portas (mesmo que o comutador seja gerenciado ou não gerenciado e o fato de o pacote provir de um comutador ou um dispositivo não é importante). Além disso, a tabela é atualizada com o endereço MAC de origem do pacote, o que levará a muitas possibilidades: não há problema com a atualização, a tabela está cheia e a adição exclui uma entrada válida ou a atualização remove um relacionamento válido de MAC para porta . Os últimos 2 casos causam problemas na rede.
Jfg956
6

Este é um mal-entendido comum. A menos que esteja configurado estaticamente, um switch deve enviar todos os pacotes por todas as portas que não puderem provar que não precisa enviar esse pacote.

Isso pode significar que um pacote é enviado apenas para a porta que contém o dispositivo de destino. Mas isso nem sempre pode ser o caso. Por exemplo, considere o primeiro pacote que o switch recebe. Como poderia saber em qual porta enviá-la?

Impedir o envio de pacotes na porta 'errada' é uma otimização que um switch usa quando pode. Não é um recurso de segurança. Os comutadores gerenciados geralmente fornecem segurança de porta real.

David Schwartz
fonte
4
A frase que você está procurando é "inundação de quadros para destinos desconhecidos".
Evan Anderson
0

É possível que o ARP Cache Envenenamento esteja em vigor. Essa é uma técnica usada, geralmente com intuito malicioso, para detectar uma rede comutada. Isso é feito convencendo todas as máquinas da rede que todas as outras máquinas possuem seu endereço MAC (usando o protocolo ARP). Isso fará com que o comutador encaminhe todos os pacotes para sua máquina - você precisará encaminhá-los após a análise. Isso é comumente usado em ataques man-in-the-middle e está disponível em várias ferramentas de detecção, como Cain & Abel ou ettercap.

lutzky
fonte