ซอฟต์แวร์ดมกลิ่นเครือข่ายทำงานบนสวิตช์ได้อย่างไร

เรามีสวิตช์ 3com ที่ไม่มีการจัดการมาตรฐานหลายตัวในเครือข่าย ฉันคิดว่าสวิตช์ควรส่งแพ็กเกจระหว่างเพื่อนของการเชื่อมต่อเท่านั้น

อย่างไรก็ตามจะปรากฏซอฟต์แวร์ดักจับเครือข่ายที่ทำงานอยู่บนคอมพิวเตอร์ที่ต่ออยู่กับสวิตช์ตัวใดตัวหนึ่งสามารถตรวจจับปริมาณการใช้งาน (เช่นสตรีมมิ่งวิดีโอ youtube หน้าเว็บ) ของโฮสต์คอมพิวเตอร์อื่น ๆ ที่เชื่อมต่อกับสวิตช์อื่น ๆ บนเครือข่าย

มันเป็นไปได้หรือว่าเครือข่ายพังอย่างละเอียดหรือไม่

เพื่อให้คำตอบของดาวิดสมบูรณ์สวิตช์จะรู้ว่าใครอยู่หลังพอร์ตโดยดูที่ที่อยู่ MAC ของแพ็กเก็ตที่ได้รับบนพอร์ตนั้น เมื่อสวิตช์เปิดทำงานมันจะไม่รู้อะไรเลย เมื่ออุปกรณ์ A ส่งแพ็กเก็ตจากพอร์ต 1 ไปยังอุปกรณ์ B สวิตช์จะเรียนรู้ว่าอุปกรณ์ A อยู่ด้านหลังพอร์ต 1 และส่งแพ็กเก็ตไปยังพอร์ตทั้งหมด เมื่ออุปกรณ์ B ตอบกลับ A จากพอร์ต 2 สวิตช์จะส่งแพ็กเก็ตที่พอร์ต 1 เท่านั้น

MAC นี้ไปยังความสัมพันธ์ของพอร์ตจะถูกเก็บไว้ในตารางในสวิตช์ แน่นอนอุปกรณ์จำนวนมากสามารถอยู่ด้านหลังพอร์ตเดียว (หากสวิตช์ถูกเสียบเข้ากับพอร์ตเป็นตัวอย่าง) ดังนั้นอาจมีที่อยู่ MAC จำนวนมากที่เชื่อมโยงกับพอร์ตเดียว

อัลกอริทึมนี้แบ่งออกเมื่อตารางมีขนาดไม่ใหญ่พอที่จะเก็บความสัมพันธ์ทั้งหมด (หน่วยความจำไม่เพียงพอในสวิตช์) ในกรณีนี้สวิตช์สูญเสียข้อมูลและเริ่มส่งแพ็กเก็ตไปยังพอร์ตทั้งหมด สิ่งนี้สามารถทำได้อย่างง่ายดาย (ตอนนี้คุณรู้วิธีแฮ็คเครือข่ายของคุณ) โดยการปลอมแพ็คเก็ตจำนวนมากที่มี MAC ที่แตกต่างจากพอร์ตเดียว นอกจากนี้ยังสามารถทำได้โดยการปลอมแพ็คเก็ตด้วย MAC ของอุปกรณ์ที่คุณต้องการสอดแนมและสวิตช์จะเริ่มส่งการรับส่งข้อมูลสำหรับอุปกรณ์นั้น

สวิตช์ที่มีการจัดการสามารถกำหนดค่าให้ยอมรับ MAC เดียวจากพอร์ต (หรือหมายเลขคงที่) หากพบ MACs เพิ่มเติมในพอร์ตนั้นสวิตช์สามารถปิดพอร์ตเพื่อป้องกันเครือข่ายหรือส่งข้อความบันทึกไปยังผู้ดูแลระบบ

แก้ไข:

เกี่ยวกับทราฟฟิก youtube อัลกอริทึมที่อธิบายข้างต้นใช้ได้กับยูนิคาสต์ทราฟฟิกเท่านั้น การถ่ายทอดอีเธอร์เน็ต (ARP เป็นตัวอย่าง) และ IP multicast (บางครั้งใช้สำหรับการสตรีม) ได้รับการจัดการแตกต่างกัน ฉันไม่ทราบว่า YouTube ใช้มัลติคาสต์หรือไม่ แต่อาจเป็นกรณีที่คุณสามารถดมกลิ่นการจราจรที่ไม่ได้เป็นของคุณ

เกี่ยวกับทราฟฟิกของเว็บเพจนี่เป็นเรื่องแปลกเนื่องจาก TCP handshake ควรตั้งค่า MAC เป็นตารางพอร์ตอย่างถูกต้อง โทโพโลยีของเครือข่ายจะเรียงซ้อนสวิตช์ราคาถูกจำนวนมากที่มีตารางเล็ก ๆ ที่เต็มเสมอหรือบางคนกำลังยุ่งกับเครือข่าย

นี่เป็นความเข้าใจผิดที่พบบ่อย สวิทช์จะต้องส่งทุก ๆ แพ็กเก็ตผ่านทุกพอร์ตที่ไม่สามารถพิสูจน์ได้ว่ามันไม่จำเป็นต้องส่งแพ็กเก็ตนั้นออกไป

นี่อาจหมายความว่าแพ็กเก็ตจะถูกส่งไปยังพอร์ตที่มีอุปกรณ์ปลายทางเท่านั้น แต่สิ่งนี้ไม่สามารถเกิดขึ้นได้เสมอไป ตัวอย่างเช่นพิจารณาแพ็กเก็ตแรกที่สวิตช์ได้รับ มันจะรู้ได้อย่างไรว่าพอร์ตไหนที่จะส่งมันออกมา?

การยับยั้งการส่งแพ็กเก็ตบนพอร์ต 'ผิด' คือการปรับให้เหมาะสมที่สวิตช์จะใช้เมื่อทำได้ มันไม่ใช่คุณสมบัติด้านความปลอดภัย สวิตช์ที่มีการจัดการมักจะให้ความปลอดภัยของพอร์ตที่แท้จริง

เป็นไปได้ว่า ARP Cache Poisoning มีผลบังคับใช้ นี่เป็นเทคนิคที่ใช้บ่อยครั้งเพื่อประสงค์ร้ายเพื่อดักจับเครือข่ายที่มีการสลับ สิ่งนี้ทำได้โดยการโน้มน้าวให้ทุกเครื่องในเครือข่ายที่เครื่องอื่น ๆ มีที่อยู่ MAC ของคุณ (ใช้โปรโตคอล ARP) สิ่งนี้จะทำให้สวิตช์ส่งต่อแพ็คเก็ตทั้งหมดไปยังเครื่องของคุณ - คุณจะต้องการส่งต่อไปหลังจากการวิเคราะห์ โดยปกติจะใช้ในการโจมตีแบบคนกลางและมีให้บริการในเครื่องมือดมกลิ่นต่าง ๆ เช่น Cain & Abel หรือ ettercap