¿Por qué un sniffer de paquetes en una LAN Ethernet puede obtener todos los paquetes enviados a través de la LAN?

7

¿Por qué un sniffer de paquetes en una LAN Ethernet puede obtener todos los paquetes enviados a través de la LAN?

En un entorno de difusión limitado, como en muchas LAN Ethernet, un sniffer de paquetes puede obtener todos los paquetes enviados a través de la LAN.

Sabemos que si hay una red Wi-Fi, podemos usar un sniffer de paquetes para capturar los paquetes, pero ¿qué tal una LAN Ethernet cableada?

ethernet 244boy
fuente
77
¿Puedes compartir de dónde vino esta cita?
user3629081

Respuestas:

20

En la Ethernet clásica (obsoleta), se usaba un concentrador de cable o repetidor compartido. Por lo tanto, cada nodo recibe físicamente cada trama enviada dentro del dominio de difusión (y colisión). Las tramas que se reciben pero que no se dirigen a la dirección MAC de una NIC se ignoran (descartan).

Durante las últimas dos décadas más o menos, el cable compartido o Ethernet repetido es obsoleto. En Ethernet conmutada, cada trama se reenvía solo en la dirección de su destino. Para acceder a una comunicación Ethernet es necesario escuchar el puerto de origen o destino directamente o mediante la duplicación de puertos (también conocido como monitoreo de puertos o SPAN) [editar después de comentarios] y el modo promiscuo en la NIC de captura, por supuesto. [/ Edit]

Zac67
fuente
Los comentarios no son para discusión extendida; Esta conversación se ha movido al chat .
Ron Maupin
7

¿Por qué en una LAN Ethernet, un sniffer de paquetes puede obtener todos los paquetes enviados a través de la LAN?

Eso no es necesariamente cierto. En Ethernet conmutada (redes modernas), solo puede oler las tramas de Ethernet que se envían a la interfaz del conmutador donde está conectado su dispositivo de monitor. Esto puede suceder de varias maneras:

  • Las tramas de difusión se envían a todas las demás interfaces
  • Las tramas de multidifusión, en ausencia de indagación IGMP, se envían a todas las demás interfaces
  • Las tramas de unidifusión desconocidas se envían a todas las demás interfaces
  • Algunos conmutadores se pueden configurar para reflejar todos los marcos en una interfaz

Aparte de lo anterior, solo los cuadros dirigidos a su dispositivo monitor se envían a la interfaz donde está conectado.

Además, cuando se usan VLAN, solo los marcos en la misma VLAN pueden llegar a la interfaz donde está conectado su dispositivo de monitor. Para obtener tráfico de una VLAN a otra VLAN se requiere un enrutador, que eliminará las tramas de los paquetes para reenviar los paquetes, creando nuevas tramas para la siguiente interfaz de enrutador.

Ron Maupin
fuente
Si el dispositivo está en la VLAN predeterminada / de administración o en una VLAN de enlace completo (como para apilar conmutadores; aunque eso probablemente generaría problemas si comenzaras a suplantar las respuestas MAC / ARP / ND en él), entonces el dispositivo de rastreo podría escuchar cada VLAN También los NSA pasivos (específicamente aquellos para SPI / IDS / etc.) usan el envenenamiento pasivo de ARP Cache específicamente con el propósito de extraer paquetes destinados a otros segmentos de red. Además, los dispositivos WAN con seguridad avanzada se pueden configurar para envenenar deliberadamente todos los cachés ARP para que todo el tráfico se enrute a través de él, incluso si está destinado al mismo segmento
Dylan Bennett
3
Su comentario realmente no tiene nada que ver con conectar un sniffer a una red cableada. La pregunta supone que al hacerlo, el sniffer verá todas las tramas, pero ese no es realmente el caso en una red conmutada. Parece que está pensando demasiado en la pregunta, que se basa en un texto que supone el uso de Ethernet coaxial o el uso de concentradores que están prácticamente extintos. El OP simplemente necesitaba alguna orientación para explicar que ya no es el caso.
Ron Maupin
0

Esto se logra a través de uno de los pocos métodos posibles ...

Con mucho, lo más común es poner la interfaz en modo promiscuo. Casi todas las NIC se pueden colocar en modo promiscuo. Esto elimina el "filtro" que ignora los paquetes no destinados a su interfaz. Esto también debe hacerse para una interfaz inalámbrica para "escuchar" las "conversaciones" en la red. Una tarjeta inalámbrica también puede colocarse en modo monitor, que difiere del modo promiscuo en que la interfaz inalámbrica no está asociada con ningún AP, Ad-Hoc u otra interfaz inalámbrica singular, sino que escucha todos los paquetes descifrables en las ondas de aire ( tenga en cuenta que si un AP se encripta a través de WEP / WPA (2), los paquetes recibidos en modo monitor en una tarjeta inalámbrica de dispositivos que forman parte de esa WLAN serán indescifrables (aunque posiblemente se pueda obtener alguna información que pueda ayudar a "descifrar"

Volviendo al modo promiscuo en Ethernet ... aunque la técnica es simple y no requiere utilidades especiales (al menos en Linux) o cambios en la topología de red / punto de conexión (donde está conectado el dispositivo), existen, sin embargo, algunas limitaciones. Esos son: 1) la NIC solo puede recoger el tráfico en su segmento de red. Un concentrador de ethernet es similar a un divisor coaxial (cable), simplemente reenvía paquetes a todas las interfaces (excepto la interfaz en la que se recibió el paquete). Por lo tanto, si se conecta a un concentrador, una tarjeta de Ethernet en modo promiscuo (promisc) vería los paquetes enviados ay desde cada dispositivo conectado al mismo concentrador. Si la red tiene múltiples concentradores en serie, la NIC vería todo el tráfico para ese segmento hasta que se alcanzara un dispositivo de reenvío inteligente, como un conmutador o enrutador.

Todas las NIC seguirán recibiendo paquetes de difusión (paquetes enviados indiscriminadamente a través de toda la red, generalmente para control de red y descubrimiento de host), y en modo promiscuo se puede hacer que reciba todos los paquetes de multidifusión, incluso si la NIC no pertenece al grupo de multidifusión. Si se configura correctamente y se habilita, todos los paquetes de difusión (similar a la difusión, pero para protocolos de control que no son de red, y generalmente se utilizan en redes WAN de usos múltiples como Cable / Banda ancha que comparten el mismo medio) también se pueden recibir. así como paquetes de transmisión simultánea en algunos casos (paquetes transmitidos a distintos hosts). Los paquetes de difusión y multidifusión (los paquetes de multidifusión son principalmente para el protocolo de gestión de grupos de Internet IGMP) pueden ayudar a obtener una imagen bastante precisa de la topología de la red si se analiza correctamente. Adicionalmente, Al hacer ping a la dirección de transmisión de la red (casi siempre la última IP de la red; el indicador -b es necesario en Linux y generalmente falla en Windows), su dispositivo recibirá una respuesta de cada computadora (que no está configurada para no responder a la transmisión pings, y si no está bloqueado por una regla en una NSA) en la red. Si hay varias redes coexistiendo en la red, hacer ping a la dirección "allcast" (255.255.255.255) puede provocar una respuesta de dispositivos en una subred diferente si la NIC está en modo promiscuo.

Para recibir todo el tráfico en una red Ethernet

Esto se vuelve un poco más complicado, dependiendo de la infraestructura de red, y hay algunas maneras de lograr el éxito.

Como se discutió anteriormente, si una red consta de solo concentradores "tontos" y un solo segmento (ya sea a través de una red ad-hoc sin estación / enrutador / aislada WAN de dispositivos interconectados, o mediante un único puente WAN-a-LAN que alimenta a un malla de concentradores "tontos"), entonces basta con poner la NIC en modo promiscuo. Si la red consta de una topología diversa y conmutadores en lugar de concentradores, este es un proceso mucho más complejo. Primero, la NIC debe colocarse en modo promiscuo. Luego, se debe tomar una decisión basada en el hardware y la topología de la red.

Opciones

1) Considere una red comercial estándar que consiste en un dispositivo WAN conectado al ISP (a menudo llamado "módem" o "enrutador", sin embargo, por lo general, el dispositivo es en realidad un dispositivo NAT, que permite que muchos dispositivos internos compartan solo uno o un pocas direcciones IP públicas, en redes IPv6, estos dispositivos generalmente realizan enrutamiento IGMPv6, pero eso está más allá del alcance de esta escritura), y conectado al dispositivo WAN es un L3 principal (a menudo con algunas capacidades de enrutamiento L4) inteligente, administrado (configurable ) interruptor. Ethernet se extiende desde el interruptor principal a diferentes departamentos o plantas que a menudo tienen interruptores no administrados (simples L2, a veces con capacidades de filtro L3) que se conectan a cada computadora, impresora, punto de acceso inalámbrico, etc. Si tiene acceso de administrador al interruptor principal ...es posible habilitar lo que se llama duplicación de puertos; dependiendo de la configuración, puede crear un solo puerto "tap" que tenga todo el tráfico destinado a otros puertos también reenviado. Este es, con mucho, el método más efectivo, ya que CADAel paquete en la red fluirá a su NIC promiscua y puede capturarse con un programa como Wireshark. Este método también omitirá los protocolos de seguridad que puedan existir en su red que podrían bloquear otros métodos posibles, como la falsificación de arp, lo que abordaré en un momento. A veces, los conmutadores (generalmente conmutadores administrados de nivel inferior) solo admiten duplicar un solo puerto a la vez, en este caso, clonar el puerto en el conmutador conectado al dispositivo WAN debería proporcionarle la mayor parte del tráfico, ya que se puede suponer que la mayoría del tráfico se dirige a Internet, e incluso si no es así, el dispositivo WAN (en una red compleja) es a menudo un enrutador multiprotocolo central y recibe casi todos los paquetes de manera predeterminada. Otro puerto único para clonar, si dos conmutadores están "apilados" (lo que significa que están interconectados a través de una troncal para servir como un único conmutador virtual, para admitir una mayor capacidad), luego duplicar un / el puerto troncal es una buena opción (esto también omitirá cierto cifrado de seguridad de encapsulación si la red se subdivide en VLAN, ya que la troncal transporta todas las VLAN). En ese sentido, también puede ser necesario asegurarse de que si se crea un espejo universal (un puerto que transmite todo el tráfico a través del conmutador), es posible que su NIC deba configurarse para usar la VLAN / VLAN troncal predeterminada (VLAN que transporta todos los demás VLAN), así como el modo promiscuo. Tenga en cuenta que es probable que esto también suponga una gran presión para su red, por lo que solo debe utilizarse para la depuración o para propósitos relacionados,

2) Otra opción viable es "tocar" la red mecánicamente. Esto se puede lograr colocando un concentrador de red entre algún segmento de la red (ya sea a lo largo de la troncal de dos conmutadores apilados, entre el conmutador principal y la WAN o entre el ISP y la WAN, todas son opciones viables, aunque debido a los protocolos NAT , ir entre la WAN y el ISP puede dificultar determinar qué paquete vino de qué dispositivo). Simplemente interconecte el segmento con el concentrador en el centro, usando 2 cables ethernet adicionales, uno para su dispositivo de escucha y otro para completar la conexión original (DEBE UTILIZAR UN HUB PARA ESTO, NO UN INTERRUPTOR). Hay un dispositivo especialmente diseñado para esto, que tiene algunos beneficios adicionales de evitar fugas de su dispositivo: mantener oculto su olfateo, evitando la degradación de la señal y la velocidad en la conexión original y filtrando los encabezados de VLAN para facilitar la configuración, está hecho para Wireshark y creo que puedes encontrarlo en su sitio web, creo que se llama 'shark-tap' o algo así. Sin embargo, es bastante caro y no es esencial. Esto también se puede lograr a través de 2 NIC puenteadas en la misma computadora, que se puede configurar como un conmutador o enrutador no autorizado paraatrae paquetes, pero para eso le sugiero que mire algunos tutoriales (muy similar a usar dos NIC inalámbricas para crear una Sirución MITM).

3) A continuación, tenemos una opción que no requiere ninguna alteración de la infraestructura de red existente. En realidad, hay 3 tácticas semi-relacionadas que pueden ser necesarias en conjunto, dependiendo de la seguridad de su red. Nuevamente, el modo promiscuo es necesario. El primero se llama suplantación de ARP. Esto es muy efectivo en la mayoría de las redes corporativas domésticas y más simples, pero se detectará rápidamente mediante tecnologías anti-intrusión / protección de privacidad, especialmente en una red inteligente sofisticada donde cada conmutador puede comunicarse entre sí. Como mencioné, los conmutadores funcionan utilizando el protocolo ARP para IPv4 y ND para IPv6. IPv4 sigue siendo la tecnología principal utilizada para el direccionamiento en LAN (principalmente debido al hecho de que los ingenieros de red están configurados a su manera y subarrendar IPv6 es mucho más difícil, además de introducir una letanía de nuevos conceptos para aprender: las direcciones IPv4 también suelen ser mucho más fáciles de recordar) y, por lo tanto, usar la suplantación de ARP suele ser suficiente (también es posible la suplantación de identidad ND y utiliza conceptos similares). Hay varios programas que pueden realizar falsificaciones de arp (casi todas las líneas de comando de Linux, puede hacer una búsqueda en el tema de tutoriales sobre eso). ARP es un protocolo, utilizado en computadoras y (lo más importante, para esta aplicación) conmutadores, para asociar MAC (direcciones físicas) con direcciones IPv4. El protocolo es simple: en ausencia de IGMP, la dirección de difusión de subred se usa principalmente, se envía un paquete de solicitud en forma de "¿quién tiene [dirección IP]? Diga [mi dirección IP]" en respuesta, por lo general, el interruptor principal o el dispositivo con la IP solicitada (sin embargo, puede ser cualquier dispositivo de la red que sepa la respuesta) responde con [la IP que estaba buscando] está en [dirección MAC]. Si no se recibe una respuesta, se envía un paquete en la transmisión predeterminada 255.255.255.255, en algunos casos, se consulta el comodín 0.0.0.0, con IGMP, también se solicitan las direcciones local del sitio y local de la red. Además, algunos sistemas operativos enviaron la solicitud a la puerta de enlace predeterminada o al conmutador predeterminado. La falsificación de ARP implica responder con autoridad a todas las solicitudes de ARP. Además, las respuestas ARP se envían de forma agresiva y, con IGMP habilitado en la red, a todas las interfaces IGMP y todas las direcciones de difusión (si existen varias subredes), así como la puerta de enlace predeterminada (si se desea) y / o el interruptor predeterminado . Esto da como resultado lo que se conoce como envenenamiento de caché ARP. Es decir, los dispositivos de control de red (conmutadores, enrutadores, puertas de enlace) ahora apuntan únicamente hacia usted cuando intenta hablar con otros dispositivos específicos, o más deseable, asumen un bucle de red o falla y recurren al comportamiento similar al concentrador, lo que significa que todos los paquetes están destinados a todos los demás Los dispositivos de red también se envían directamente a usted / su segmento de red. El procedimiento es fácil de entender, en sus raíces. Luego, el modo promiscuo se encarga del resto y puede escuchar todas las conversaciones. También es posible suplantar solo el interruptor principal, o solo el dispositivo WAN, que recibe el 90% de los paquetes que atraviesan la red en la mayoría de los casos, a excepción de los protocolos que usan IPv6 (y algunos protocolos IPv4 raros, que generalmente requieren el creación de conexiones temporales punto a punto, mientras que IPv6 siempre establece direcciones locales de enlace fe80 para este propósito) para eludir la infraestructura de red (si está en el mismo segmento) y hablar directamente entre sí. Un ejemplo de esto es el protocolo appletalk para comunicación y servicios entre computadoras Mac en el mismo segmento de redes.

El problema es que el hardware de red más avanzado, especialmente si existe un firewall de red o una NSA más avanzada o es el dispositivo WAN principal o se encuentra entre la red / interruptor principal y la WAN (como es el caso en muchas situaciones), ese dispositivo a menudo detectan el intento de rastreo y, en respuesta, bloquean automáticamente todo el tráfico al MAC designado (phy) o IPv4, cierran el segmento por completo o simplemente ignoran la ubicación recién anunciada, que funciona bien en una red de escritorio donde la posición de una máquina es es poco probable que cambie (esto sería poco probable en una configuración doméstica promedio, donde el tráfico simplemente se enrutaría / cambiaría a ambos dispositivos). Sin embargo, debido a la itinerancia del punto de acceso inalámbrico, lo que significa que un dispositivo puede saltar de un segmento a otro, a menudo más rápido que la actualización de cachés APR (usuario configurado en conmutadores administrados y estático en no administrados, desde 30 segundos o menos para una red altamente inalámbrica hasta 60 segundos para un entorno mixto, hasta media hora o más para una red que cambia con poca frecuencia - Se prefieren los tiempos de espera más cortos debido a la tolerancia a la conmutación por error más rápida y al tráfico menos dirigido, pero los períodos más largos pueden ahorrar la sobrecarga del protocolo ARP en Ethernet estáticas). Esto también se convierte en un problema menor cuando el dispositivo de seguridad principal se encuentra en el conmutador principal o WAN, y los conmutadores interconectados y no administrados dirigen el tráfico a través de grandes segmentos. En este caso, el envenenamiento por ARP puede afectar simplemente a un gran segmento de la red sin activar un dispositivo de seguridad. Otros factores influyen en esto, como los protocolos como STP (que abarcan tres protocolos, que está diseñado para actualizar la topología de red conocida por los conmutadores en caso de un cambio de topología, como si un conmutador se mueve de un puerto a otro). En realidad, en redes mal configuradas con STP e IGMP, simplemente desenchufar un dispositivo y enchufarlo en un puerto de conmutador diferente activará lo que se conoce como una inundación IGMP, lo que hará que todos los conmutadores se comporten de manera similar a los concentradores "tontos", hasta que el ARP la memoria caché se sincroniza en todos los dispositivos, durante los cuales todo el tráfico será visible durante un período generalmente igual al tiempo de espera máximo de caché ARP del dispositivo, en todas las interfaces.

Adicional, o en conjunto con la suplantación de ARP / envenenamiento de caché, la suplantación de MAC a veces puede emplearse, ya sea para engañar a los dispositivos de seguridad junto con el envenenamiento de caché de ARP, o simplemente por sí solo. Una buena táctica sería clonar el MAC (comando macchanger en linux) del dispositivo WAN, a menudo es una técnica prometedora. A veces, configurar su IP en una IP estática que sea la misma que su objetivo es suficiente para engañar a los protocolos de enrutamiento para que envíen tráfico no destinado a usted, nuevamente, algo que puede ser beneficioso además de la suplantación de ARP. Clonar su nombre de host puede ayudar a evitar la detección.

Si su objetivo es depurar (o espiar) una sola máquina objetivo, entonces probablemente sea mejor combinar todo lo discutido aquí, lo mejor que pueda. Intente colocar su dispositivo de escucha en el segmento de red del dispositivo de destino. Entonces todo lo que necesita es el modo promiscuo habilitado. Si esa no es una opción, intente obtener al menos el mismo segmento del interruptor principal que su objetivo y use una suplantación de ARP / envenenamiento de caché y / o clonación MAC menos agresiva (posiblemente clonando también la IP, aunque una interfaz es promiscua el modo no debería necesitar una IP asignada y eso puede hacer que ambos dispositivos se vean obligados a abandonar la red), si todo lo demás falla, use una intoxicación por ARP agresiva. También recuerde que es posible realizar suplantación de ARP en un solo objetivo, corrompiendo el caché de una máquina, haciendo que le envíe paquetes en lugar del destino previsto. Este tipo de envenenamiento por ARP activo funciona mejor cuando reenvía activamente paquetes a la desatinación deseada, o su dispositivo simplemente no responderá, lo que provocará que la víctima piense que tiene una conexión interrumpida, aunque si existen múltiples entradas o se reciben respuestas conflictivas a un Solicitud ARP, es normal que el dispositivo envíe paquetes a todos los dispositivos, el que responde se convierte en la entrada de caché semipermanente, mientras que, según el sistema, la entrada infractora a menudo se incluye en la lista negra durante un período, por lo tanto, por qué usar MITM ( hombre en el medio) el reenvío es la práctica del ritmo.

Si su objetivo es simplemente depurar una red, simplemente poniendo su tarjeta ethernet en modo promiscuo le permitirá obtener mucha información sobre su red, verá casi todos los mensajes de control de red, tendrá una buena idea de qué dispositivos son más activo y ve algunos paquetes de unidifusión que se envían antes de que se complete una tabla ARP de dispositivos. Esto no requiere suplantación de identidad y está totalmente automatizado en wireshark y se puede hacer con ifconfig { sudo ifconfig eth# mode promisc' orsudo ifconfig eth # promisc '(si lo creo bien)} en Linux, de manera similar, si es compatible, cualquier recepción de difusión también se puede habilitar.

Cabe señalar que, dependiendo del firmware de su NIC, los controladores instalados, si está utilizando win o linux, etc., simplemente habilitar el modo promiscuo en el adaptador a menudo habilita una forma de suplantación pasiva de ARP para permitir la recepción de todos (o la mayoría , al menos en su segmento) paquetes de unidifusión. Sin embargo, usar el envenenamiento activo y agresivo de caché ARP es mucho más efectivo si se requiere monitorear todo el tráfico en todos los segmentos de red desde un segmento de red remoto. No está garantizado realizar ninguna actividad ARP, sin embargo, solo permite la recepción de todos los paquetes que viajan a través del cable

Tenga en cuenta que debido a que muchos dispositivos de seguridad se basan en el envenenamiento de caché ARP para insertarse en la red y rastrean pasivamente todo el tráfico entrante para detectar patrones extraños y alarmas de disparo, y porque un dispositivo WiFi de itinerancia agresiva puede asociarse constantemente con AP en diferentes segmentos más rápido que el Tiempo de espera de caché ARP: aparece efectivamente como presente en dos ubicaciones desde una perspectiva de control de red, aunque no está haciendo nada malicioso, la mayoría del hardware de red permitirá la suplantación de ARP a menos que se desactive manualmente en entornos de alta seguridad (e incluso entonces, es una compensación ya que evita los dispositivos de escucha pasiva / DPI / IPS / IDS. Si conoce el MAC de dicho dispositivo, clonar su MAC para que coincida y realizar su propio envenenamiento de caché ARP es probablemente su mejor opción. También se espera que,siempre que el dispositivo ARP no autorizado esté en el interior (lado de la LAN) del dispositivo WAN, esa seguridad física debería evitar que los dispositivos no autorizados aparezcan internamente y, por lo tanto, se considere una amenaza menor.

En los viejos tiempos, cuando los conmutadores eran nuevos y muy caros, y los concentradores eran la principal forma de interconectar múltiples segmentos de red, se podía ver todo el tráfico desde cualquier parte de una red grande, sin embargo, esto obviamente era menos que ideal, como congestión en la red era extremadamente alto, hasta el punto de inestabilidad incluso de LAN medianas

TENGA EN CUENTA QUE LA MAYORÍA DEL TRÁFICO DE HOY SE ENCRITA A TRAVÉS DE TLS, POR LO TANTO QUE PUEDE CAPTURAR CONEXIONES Y ASEGURARSE DE QUÉ DISPOSITIVO SE CONECTA DONDE NO PODRÁ DESCRIBIR EL 95% DE LAS CONVERSACIONES.

ALGUNOS COMANDOS ÚTILES envía ping TCP / UDP | UDPLITE | ICMP o traceroute en lugar del ping UDP traceroute / ICMP predeterminado; El indicador ping -e proporciona información sobre la encapsulación de paquetes, tenga en cuenta que el envenenamiento por ARP no tendrá éxito a través de un túnel MPLS / VPN o en un segmento de red enrutado L4, o en VLAN, a menos que el dispositivo de rastreo esté en la VLAN predeterminada (como 2 departamentos con un enrutador interno en el medio, cada uno en diferentes subredes / redes, esto crea una barrera que los paquetes solo atraviesan si cumplen con las reglas predefinidas hechas por el administrador). -por supuesto apt / yum / dnf / apt-get [search | install] o rpm -i para un paquete pre-descargado en fedora / RHEL (administradores de paquetes para instalar cualquier software faltante) envía ping TCP / UDP | UDPLITE | ICMP o traceroute en lugar del ping UDP traceroute / ICMP predeterminado; El indicador ping -e proporciona información sobre la encapsulación de paquetes, tenga en cuenta que el envenenamiento por ARP no tendrá éxito a través de un túnel MPLS / VPN o en un segmento de red enrutado L4, o en VLAN, a menos que el dispositivo de rastreo esté en la VLAN predeterminada (como 2 departamentos con un enrutador interno en el medio, cada uno en diferentes subredes / redes, esto crea una barrera que los paquetes solo atraviesan si cumplen con las reglas predefinidas hechas por el administrador). -por supuesto apt / yum / dnf / apt-get [search | install] o rpm -i para un paquete pre-descargado en fedora / RHEL (administradores de paquetes para instalar cualquier software faltante) tenga en cuenta que el envenenamiento ARP no tendrá éxito a través de un túnel MPLS / VPN o en un segmento de red enrutado L4, o en VLAN, a menos que el dispositivo de rastreo esté en la VLAN predeterminada (como 2 departamentos con un enrutador interno en el medio, cada uno en diferentes subredes / redes: esto crea una barrera que los paquetes solo atraviesan si cumplen con las reglas predefinidas hechas por el administrador). -por supuesto apt / yum / dnf / apt-get [search | install] o rpm -i para un paquete pre-descargado en fedora / RHEL (administradores de paquetes para instalar cualquier software faltante) tenga en cuenta que el envenenamiento por ARP no tendrá éxito a través de un túnel MPLS / VPN o en un segmento de red enrutado L4, o en VLAN, a menos que el dispositivo de rastreo esté en la VLAN predeterminada (como 2 departamentos con un enrutador interno en el medio, cada uno en diferentes subredes / redes: esto crea una barrera que los paquetes solo atraviesan si cumplen con las reglas predefinidas hechas por el administrador). -por supuesto apt / yum / dnf / apt-get [search | install] o rpm -i para un paquete pre-descargado en fedora / RHEL (administradores de paquetes para instalar cualquier software faltante)

RENUNCIA DE RESPONSABILIDAD (SOLO PARA EL USO RESPONSABLE DE LA INFORMACIÓN): Cualquier información sobre evasión potencial de detección por dispositivos de seguridad, espionaje de un objetivo u objetivos o realizar cualquier otra actividad que pueda considerarse "piratería", "descifrado", "suplantación" (digital o de otro modo) o "suplantación de identidad", y / o toda la información proporcionada en este documento que podría usarse de manera maliciosa y / o ilegal (según la definición más flexible del término y según la ley en cualquiera o todas las jurisdicciones) solo con fines informativos, no como un tutorial o consejo sobre cómo llevar a cabo las actividades mencionadas. Nada de lo escrito anteriormente constituye un consejo o estímulo para cometer un delito o infringir alguna ley, ni para causar daños a ninguna persona. Esta información se ha proporcionado estrictamente con fines hipotéticos y, por lo tanto, debe y debe considerarse hipotética en todos los aspectos. Cualquier intento por parte de un individuo de usar esta información de una manera prohibida en este documento, o de otra manera, por razonamiento de sentido común, moralmente injusto o incorrecto, o de una manera prohibida por los términos de servicio del editor, no reflejará ninguna responsabilidad sobre el escritor del contenido, ni el editor, bajo ninguna circunstancia, en ninguna jurisdicción. Excepto en lo que respecta a los derechos de autor, esta declaración complementa completamente los términos de servicio del editor. El aviso de copyright aquí (2019) reemplaza cualquier reclamo de material por parte del editor. El (los) autor (es) (Cryptostack Services LLC y Dylan J Bennett) tendrán los mismos derechos y derechos para copiar y / o volver a publicar y / o eliminar este material a pedido y / o deseo. Los autores, nombrados arriba entre paréntesis, se reservarán el pleno poder de los derechos de autor y todos los Derechos bajo la DMCA. Esto es complementario a los términos de servicio del sitio en el que el autor publica. Nadie puede copiar o volver a publicar esta información en ningún otro medio (electrónico o analógico) que no sea el medio original (sub-foro de intercambio de pila para preguntas relacionadas con la red). La violación de dicha solicitud constituirá daños responsables de las reparaciones monetarias. La violación constituye una renuncia intencional por parte del infractor del derecho a juicio por parte de un juez o jurado en el caso de que el autor busque reparaciones civiles por los daños incurridos; sin embargo, el autor se reserva el derecho de presentar una demanda civil en el Distrito Sur de Nueva York u otro tribunal cercano o para elija Arbitraje por firma elegida por el autor en el estado de Nueva York, EE. UU. Publicar en este foro de ninguna manera renuncia a los derechos del autor a la propiedad exclusiva, privilegios de copia, capacidad de reclamar daños, etc., independientemente de los términos de servicio establecidos por el editor. Esta declaración es complementaria a cualquier término o uso y / o servicio por parte del editor y debe reemplazar cualquier material anterior a esta declaración. En caso de contradicción entre los términos del editor y estos términos, esto se considerará superior. Se supone que el editor conoce y es responsable del contenido en su medio y, como tal, puede eliminar voluntariamente todo el contenido de esta publicación si no está de acuerdo. No eliminar todo el contenido publicado por el autor es una violación en este documento. Además, tanto el autor como el editor renuncian a toda responsabilidad por daños causados ​​por la información y los métodos contenidos en esta publicación, ya que toda la información se compiló de otras fuentes disponibles públicamente, y por lo tanto, el objetivo de esta publicación es solo servir para el único propósito de proporcionar acceso a conocimiento disponible con el fin de responder una pregunta planteada por un individuo que, según el conocimiento del escritor y del editor, no representa una amenaza para ningún individuo, organización o de otro tipo. Esta declaración tiene por objeto proteger tanto al autor (mencionado anteriormente) como al editor de la responsabilidad. La declaración fue redactada por el autor (mencionado anteriormente) de la totalidad de esta publicación. El idioma de esta declaración es el inglés simple y no debe interpretarse en exceso. Se requiere interpretación del sentido común. y, por lo tanto, el objetivo de esta publicación es servir únicamente para proporcionar acceso al conocimiento ya disponible con el fin de responder una pregunta planteada por un individuo que, según el conocimiento del escritor y del editor, no representa una amenaza para ningún individuo, organización o de otra manera. Esta declaración tiene por objeto proteger tanto al autor (mencionado anteriormente) como al editor de la responsabilidad. La declaración fue redactada por el autor (mencionado anteriormente) de la totalidad de esta publicación. El idioma de esta declaración es el inglés simple y no debe interpretarse en exceso. Se requiere interpretación del sentido común. y, por lo tanto, el objetivo de esta publicación es servir únicamente para proporcionar acceso al conocimiento ya disponible con el fin de responder una pregunta planteada por un individuo que, según el conocimiento del escritor y del editor, no representa una amenaza para ningún individuo, organización o de otra manera. Esta declaración tiene por objeto proteger tanto al autor (mencionado anteriormente) como al editor de la responsabilidad. La declaración fue redactada por el autor (mencionado anteriormente) de la totalidad de esta publicación. El idioma de esta declaración es el inglés simple y no debe interpretarse en exceso. Se requiere interpretación del sentido común. no representa una amenaza para ningún individuo, organización u otro. Esta declaración tiene por objeto proteger tanto al autor (mencionado anteriormente) como al editor de la responsabilidad. La declaración fue redactada por el autor (mencionado anteriormente) de la totalidad de esta publicación. El idioma de esta declaración es el inglés simple y no debe interpretarse en exceso. Se requiere interpretación del sentido común. no representa una amenaza para ningún individuo, organización u otro. Esta declaración tiene por objeto proteger tanto al autor (mencionado anteriormente) como al editor de la responsabilidad. La declaración fue redactada por el autor (mencionado anteriormente) de la totalidad de esta publicación. El idioma de esta declaración es el inglés simple y no debe interpretarse en exceso. Se requiere interpretación del sentido común.

Dylan Bennett
fuente
2
Lea hasta cierto punto, pero con todo este texto y muchos problemas (confusos, parcialmente correctos o completamente incorrectos) en la primera media docena de párrafos, no parece que valga la pena continuar. Por ejemplo (recorte para la longitud), un conmutador utiliza un protocolo conocido como ARP o ND para descubrir las direcciones MAC de todos los dispositivos conectados a cada interfaz ; un conmutador no requiere ni ARP ni ND para aprender las direcciones MAC para una tabla de reenvío L2. O los paquetes de multidifusión son principalmente para IGMP: protocolo de administración de grupos de Internet , simplemente incorrecto. Demasiados problemas para caber en un comentario (es decir, límite de caracteres).
YLearn
1
IGMP se utiliza para gestionar la pertenencia a grupos de multidifusión. Si bien IGMP puede ser la fuente principal de multidifusión en redes con las que está familiarizado, los paquetes de multidifusión no son principalmente para IGMP ni la fuente principal en muchas redes. En cuanto a la cuestión ARP / ND, vuelva a leer el tercer párrafo donde dice exactamente eso sin mencionar un interruptor L3. Entiendo qué es ARP / ND / IGMP, qué es una tabla ARP / cómo se usa, y todo sin hacer ninguna investigación o "comprobación de hechos". Vuelva a leer su propia publicación y compruebe que lo que realmente publicó es correcto, ya que puede que no se transmita como se esperaba.
YLearn
55
Sospecho que Stack Exchange no estaría contento de ver tal descargo de responsabilidad en ninguna respuesta en su sitio, aunque nunca me he encontrado con uno aquí antes.
Presidente James K. Polk
3
Re " El (los) autor (es), mencionados entre paréntesis, se reservarán el pleno derecho de autor y todos los Derechos bajo la DMCA " . En realidad, al publicar en este sitio, usted acepta renunciar a algunos poderes.
ikegami
44
@JamesKPolk, SE ha dejado en claro que, en todos sus términos de servicio / legalidad, por parte de un usuario que publica, está entrando en un contrato en el sentido de que cualquier contenido que publique está cubierto por la licencia CC-BY-SA. Verifiqué rápidamente el meta y no encontré ninguna respuesta definitiva sobre si debería eliminarse tal descargo de responsabilidad. Sin embargo, a pesar de ese IANAL, creo que al publicar en un sitio SE, el usuario ha estipulado que acepta que el contenido está cubierto por CC-BY-SA y que no tendría derecho a cambiar esos términos sin el consentimiento de SE. Como tal, el descargo de responsabilidad no tiene sentido al menos en parte.
YLearn