Яка мережева атака перетворює комутатор у концентратор?

Я прочитав сьогодні статтю, в якій описується, як тестувальник проникнення зміг продемонструвати створення підробленого банківського рахунку із залишком у 14 мільйонів доларів. Однак один пункт із описом нападу виділявся:

Потім він «затопив» комутатори - невеликі скриньки, які спрямовують трафік даних - щоб переповнити внутрішню мережу банку даними. Така атака перетворює перемикач на "хаб", який без розбору передає дані.

Я не знайомий з описаним ефектом. Чи справді можливо змусити перемикати трансляцію трафіку на всі його порти, надсилаючи величезну кількість трафіку? Що саме відбувається в цій ситуації?

switch security

— Лукас
джерело

Деякі інші подробиці на це повідомлення / відповідь: serverfault.com/questions/345670 / ... .

— jfg956

Відповіді:

Це називається затопленням MAC . "MAC-адреса" - це апаратна адреса Ethernet. Перемикач підтримує таблицю CAM, яка відображає MAC-адреси в порти.

Якщо комутатор має надіслати пакет на MAC-адресу не в таблиці CAM, він заповнить його всіма портами, як це робить концентратор. Отже, якщо ви заливаєте комутатор із більшою кількістю MAC-адрес, ви вимусите записи законних MAC-адрес із таблиці CAM, і їхній трафік буде перенесений на всі порти.

— Девід Шварц
джерело

Чи робить комутатор щось, щоб запобігти чи обмежити це?

— TheLQ

Зазвичай ні, але це не його робота. Завдання комутатора - полегшити зв'язок між вузлами в локальній мережі, не застосовувати політику безпеки або фільтрувати інформацію. Перемикачі роблять це випадково, як наслідок того, щоб зробити речі швидшими, і люди, нерозумно, думають про це як про безпеку. (Те ж саме відбувається і з NAT.) Безпека, яка надається "випадково", як наслідок того, щоб робити щось інше, ніколи не слід вважати справжньою безпекою. Існують захищені керовані комутатори, що забезпечують безпеку, так само, як існують NAT-реалізації, які також включають фактичні брандмауери.

— Девід Шварц

Це називається затопленням MAC і використовує той факт, що таблиці перемикачів CAM мають обмежену довжину. Якщо вони переповнюються, комутатор перетворюється на концентратор і розсилає кожен пакет до кожного порту, який швидко може заглушити мережу.

Відредаговано для виправлення неправильної термінології.

— Свен
джерело

SvW, ймовірно, означав таблицю MAC-адрес, яка відображає MAC-адреси у фізичні порти. Більшість комутаторів виділяють для цього обмежену кількість пам’яті, і це може легко вичерпатися зловмисником, який надсилає кадри з випадково підроблених MAC-адрес. Це призведе до перемикання на потоки кадрів для всіх портів для будь-якої MAC-адреси призначення, яка вже не в таблиці. На щастя, це можна усунути, обмеживши кількість MAC, які можуть з’являтися на даному порту.

— James Sneeringer

Правильна концепція, неправильна термінологія ... Досить близько, щоб +1 від мене.

— Кріс Ш

@ChrisS: Про це вже йшлося. Все, що відповідь додано, було невірним.

— Девід Шварц

@DavidSchwartz: Ну, я відредагував два слова, де я, очевидно, змішав термінологію, і тепер відповідь цілком правильна. Відверто кажучи, це було б чудовою можливістю самостійно скористатися функцією редагування сайту. Натомість люди (не обов'язково ви) використовуєте це, щоб замінити "тех" на "на" у дворічній посаді ...

— Sven

@SvW: Я не вважав очевидним, що ви просто використовували неправильну термінологію, що комутатори мають щось спільне з ARP - насправді це дуже поширене функціональне непорозуміння. Я не вважаю за доцільне використовувати "редагування", щоб повністю змінити чужу відповідь, навіть з неправильної на правильну. (Можливо, це погана політика з мого боку. Я розшукую мета і побачу, чи не в цьому мені перегляд.)

— Девід Шварц

Як було пояснено вище, таблиця MAC комутатора "отруєна" фальшивими mac-адресами. Це легко зробити з macofпрограмою з dsniffнабору інструментів. Попередження: спробуйте це лише в освітніх цілях у власній мережі, інакше ви потрапите в глибокі юридичні проблеми!

http://www.monkey.org/~dugsong/dsniff/

— Флойд
джерело