การโจมตีเครือข่ายชนิดใดที่เปลี่ยนสวิตช์เป็นฮับ

ฉันอ่านบทความวันนี้ที่อธิบายว่าเครื่องมือทดสอบการเจาะสามารถแสดงให้เห็นถึงการสร้างบัญชีธนาคารปลอมที่มียอดคงเหลือ 14 ล้านเหรียญได้อย่างไร อย่างไรก็ตามหนึ่งย่อหน้าที่อธิบายถึงการโจมตีโดดเด่น:

จากนั้นเขาก็ "สวิตช์" ที่ถูกน้ำท่วม - กล่องเล็ก ๆ ที่ควบคุมการรับส่งข้อมูลเพื่อเอาชนะเครือข่ายภายในของธนาคารด้วยข้อมูล การโจมตีแบบนั้นจะเปลี่ยนเป็น "ฮับ" ที่ถ่ายทอดข้อมูลโดยไม่เลือกปฏิบัติ

ฉันไม่คุ้นเคยกับเอฟเฟกต์ที่อธิบายไว้ เป็นไปได้จริง ๆ หรือไม่ที่จะบังคับให้สวิตช์ส่งสัญญาณปริมาณข้อมูลไปยังพอร์ตทั้งหมดด้วยการส่งปริมาณข้อมูลจำนวนมาก? เกิดอะไรขึ้นในสถานการณ์นี้?

switch security

— ลูคัส
แหล่งที่มา

บางส่วนรายละเอียดอื่น ๆ ที่โพสต์ / คำตอบ: serverfault.com/questions/345670/...

— jfg956

คำตอบ:

นี้เรียกว่าMAC น้ำท่วม "ที่อยู่ MAC" เป็นที่อยู่ฮาร์ดแวร์อีเธอร์เน็ต สวิตช์เก็บรักษาตาราง CAMที่จับคู่ที่อยู่ MAC กับพอร์ต

หากสวิตช์ต้องส่งแพ็คเก็ตไปยังที่อยู่ MAC ที่ไม่ได้อยู่ในตาราง CAM มันจะส่งไปยังพอร์ตทั้งหมดเช่นเดียวกับฮับ ดังนั้นหากคุณใช้สวิตช์ที่มีที่อยู่ MAC จำนวนมากขึ้นคุณจะบังคับให้รายการที่อยู่ MAC ที่ถูกต้องตามกฎหมายออกจากตาราง CAM และปริมาณการใช้งานจะถูกส่งไปยังพอร์ตทั้งหมด

— เดวิดชวาร์ตษ์
แหล่งที่มา

สวิตช์ทำอะไรเพื่อป้องกันหรือ จำกัด สิ่งนี้หรือไม่?

— TheLQ

โดยทั่วไปไม่ได้ แต่นั่นไม่ใช่งานของมัน หน้าที่ของสวิตช์คือการอำนวยความสะดวกในการสื่อสารระหว่างโหนดใน LAN ไม่ใช้นโยบายความปลอดภัยหรือข้อมูลตัวกรอง สวิตช์ทำสิ่งนี้โดยบังเอิญเนื่องจากการทำให้สิ่งต่าง ๆ เร็วขึ้นและผู้คนมีความคิดที่โง่เขลาคิดว่านี่เป็นความปลอดภัย (สิ่งเดียวกันนี้เกิดขึ้นกับ NAT) การรักษาความปลอดภัยให้ "โดยไม่ตั้งใจ" อันเป็นผลมาจากการทำอย่างอื่นไม่ควรถือเป็นความปลอดภัยที่แท้จริง มีสวิตช์ที่ปลอดภัยและมีการจัดการที่ให้การรักษาความปลอดภัยเช่นเดียวกับการใช้งาน NAT ที่มีไฟร์วอลล์จริง

— David Schwartz

สิ่งนี้เรียกว่า MAC flooding และใช้ประโยชน์จากข้อเท็จจริงที่ว่าตาราง CAM ของสวิตช์มีความยาว จำกัด หากพวกเขาล้นสวิตช์จะเปลี่ยนเป็นฮับและส่งแพ็กเก็ตทั้งหมดไปยังทุกพอร์ตซึ่งจะทำให้เครือข่ายหยุดทำงานได้อย่างรวดเร็ว

แก้ไขเพื่อแก้ไขคำศัพท์ที่ผิด

— สเวน
แหล่งที่มา

SvW อาจหมายถึงตารางที่อยู่ MAC ซึ่งจับคู่ที่อยู่ MAC กับพอร์ตทางกายภาพ สวิตช์ส่วนใหญ่จัดสรรหน่วยความจำในจำนวนที่ จำกัด สำหรับสิ่งนี้และมันสามารถถูกทำให้อ่อนล้าโดยผู้โจมตีที่ส่งเฟรมจากที่อยู่ MAC ที่ปลอมแปลงแบบสุ่ม ซึ่งจะทำให้สวิตช์เปลี่ยนเป็นเฟรมไปยังพอร์ตทั้งหมดสำหรับที่อยู่ MAC ปลายทางใด ๆ ที่ไม่ได้อยู่ในตาราง โชคดีที่สิ่งนี้สามารถบรรเทาได้ด้วยการ จำกัด จำนวนของ Macs ที่อาจปรากฏบนพอร์ตที่กำหนด

— James Sneeringer

แนวคิดที่ถูกต้องคำศัพท์ที่ผิด ... ใกล้พอสำหรับ +1 จากฉัน

— Chris S

@ChrisS: นั่นมีอยู่แล้วในคำถาม ทุกสิ่งที่คำตอบที่เพิ่มนั้นไม่ถูกต้อง

— David Schwartz

@DavidSchwartz: ดีฉันแก้ไขสองคำที่ฉันเห็นได้ชัดว่าคำศัพท์ผสมและตอนนี้คำตอบนั้นถูกต้องทั้งหมด ค่อนข้างตรงไปตรงมาที่จะเป็นโอกาสที่ดีในการใช้ฟังก์ชั่นการแก้ไขของเว็บไซต์ด้วยตัวคุณเอง แต่ผู้คน (ไม่จำเป็นต้องคุณ) ใช้เพื่อแทนที่ "teh" ด้วย "the" ในโพสต์เก่า 2 ปี ...

— Sven

@SvW: ฉันไม่คิดว่ามันชัดเจนว่าคุณเพียงแค่ใช้คำศัพท์ที่ไม่ถูกต้องสวิตช์ที่มีบางอย่างที่เกี่ยวข้องกับ ARP เป็นความเข้าใจผิดที่ใช้กันทั่วไป ฉันไม่คิดว่ามันเหมาะสมที่จะใช้ "แก้ไข" เพื่อเปลี่ยนคำตอบของคนอื่นอย่างสมบูรณ์แม้จะไม่ถูกต้องเปลี่ยนก็ตาม (อาจเป็นนโยบายที่ไม่ดีในส่วนของฉันฉันจะค้นหาเมตาดาต้าและดูว่าฉันไม่ได้อยู่ในกระแสหลักในมุมมองนั้นหรือไม่)

— David Schwartz

ดังที่ได้อธิบายไว้ข้างต้นตาราง MAC ของสวิตช์นั้น 'วางยาพิษ' ซึ่งมีที่อยู่ mac ปลอม นี่เป็นเรื่องง่ายที่จะทำกับmacofโปรแกรมจากdsniffชุดเครื่องมือ คำเตือน: ลองใช้เพื่อการศึกษาในเครือข่ายของคุณเท่านั้นมิฉะนั้นคุณจะประสบปัญหาทางกฎหมายอย่างลึกซึ้ง!

http://www.monkey.org/~dugsong/dsniff/

— ฟลอยด์
แหล่งที่มา