Яка мережева атака перетворює комутатор у концентратор?


35

Я прочитав сьогодні статтю, в якій описується, як тестувальник проникнення зміг продемонструвати створення підробленого банківського рахунку із залишком у 14 мільйонів доларів. Однак один пункт із описом нападу виділявся:

Потім він «затопив» комутатори - невеликі скриньки, які спрямовують трафік даних - щоб переповнити внутрішню мережу банку даними. Така атака перетворює перемикач на "хаб", який без розбору передає дані.

Я не знайомий з описаним ефектом. Чи справді можливо змусити перемикати трансляцію трафіку на всі його порти, надсилаючи величезну кількість трафіку? Що саме відбувається в цій ситуації?


Деякі інші подробиці на це повідомлення / відповідь: serverfault.com/questions/345670 / ... .
jfg956

Відповіді:


62

Це називається затопленням MAC . "MAC-адреса" - це апаратна адреса Ethernet. Перемикач підтримує таблицю CAM, яка відображає MAC-адреси в порти.

Якщо комутатор має надіслати пакет на MAC-адресу не в таблиці CAM, він заповнить його всіма портами, як це робить концентратор. Отже, якщо ви заливаєте комутатор із більшою кількістю MAC-адрес, ви вимусите записи законних MAC-адрес із таблиці CAM, і їхній трафік буде перенесений на всі порти.


2
Чи робить комутатор щось, щоб запобігти чи обмежити це?
TheLQ

17
Зазвичай ні, але це не його робота. Завдання комутатора - полегшити зв'язок між вузлами в локальній мережі, не застосовувати політику безпеки або фільтрувати інформацію. Перемикачі роблять це випадково, як наслідок того, щоб зробити речі швидшими, і люди, нерозумно, думають про це як про безпеку. (Те ж саме відбувається і з NAT.) Безпека, яка надається "випадково", як наслідок того, щоб робити щось інше, ніколи не слід вважати справжньою безпекою. Існують захищені керовані комутатори, що забезпечують безпеку, так само, як існують NAT-реалізації, які також включають фактичні брандмауери.
Девід Шварц

8

Це називається затопленням MAC і використовує той факт, що таблиці перемикачів CAM мають обмежену довжину. Якщо вони переповнюються, комутатор перетворюється на концентратор і розсилає кожен пакет до кожного порту, який швидко може заглушити мережу.

Відредаговано для виправлення неправильної термінології.


1
SvW, ймовірно, означав таблицю MAC-адрес, яка відображає MAC-адреси у фізичні порти. Більшість комутаторів виділяють для цього обмежену кількість пам’яті, і це може легко вичерпатися зловмисником, який надсилає кадри з випадково підроблених MAC-адрес. Це призведе до перемикання на потоки кадрів для всіх портів для будь-якої MAC-адреси призначення, яка вже не в таблиці. На щастя, це можна усунути, обмеживши кількість MAC, які можуть з’являтися на даному порту.
James Sneeringer

Правильна концепція, неправильна термінологія ... Досить близько, щоб +1 від мене.
Кріс Ш

@ChrisS: Про це вже йшлося. Все, що відповідь додано, було невірним.
Девід Шварц

1
@DavidSchwartz: Ну, я відредагував два слова, де я, очевидно, змішав термінологію, і тепер відповідь цілком правильна. Відверто кажучи, це було б чудовою можливістю самостійно скористатися функцією редагування сайту. Натомість люди (не обов'язково ви) використовуєте це, щоб замінити "тех" на "на" у дворічній посаді ...
Sven

@SvW: Я не вважав очевидним, що ви просто використовували неправильну термінологію, що комутатори мають щось спільне з ARP - насправді це дуже поширене функціональне непорозуміння. Я не вважаю за доцільне використовувати "редагування", щоб повністю змінити чужу відповідь, навіть з неправильної на правильну. (Можливо, це погана політика з мого боку. Я розшукую мета і побачу, чи не в цьому мені перегляд.)
Девід Шварц

0

Як було пояснено вище, таблиця MAC комутатора "отруєна" фальшивими mac-адресами. Це легко зробити з macofпрограмою з dsniffнабору інструментів. Попередження: спробуйте це лише в освітніх цілях у власній мережі, інакше ви потрапите в глибокі юридичні проблеми!

http://www.monkey.org/~dugsong/dsniff/

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.