¿Cómo funciona el software de detección de redes en un conmutador?

18

Tenemos varios conmutadores 3com estándar no administrados en una red. Pensé que se suponía que los conmutadores solo enviaban paquetes entre pares de una conexión.

Sin embargo, parece que el software de rastreo de red que se ejecuta en una computadora conectada a uno de los conmutadores puede detectar el tráfico (es decir, la transmisión de videos de YouTube, páginas web) de otras computadoras host conectadas a otros conmutadores en la red.

¿Es esto posible o la red está completamente rota?

networking switch packet-sniffer Can Kavaklıoğlu
fuente
1
Tal vez, debe mirar esta publicación: serverfault.com/questions/214881/ethernet-network-topology
Khaled
Mi experiencia sugiere una situación más parecida al caso en la respuesta de David. La computadora de rastreo parece estar recibiendo no algunos, sino todos los paquetes, pero todas las demás computadoras están transmitiendo.
¿Puede Kavaklıoğlu el
¿Está seguro de que no solo está viendo el tráfico de transmisión en el software de detección? El hecho de que veas algo no significa que estés viendo todo.
Jed Daniels el

Respuestas:

22

Para completar la respuesta de David, un conmutador aprende quién está detrás de un puerto mirando las direcciones MAC de los paquetes recibidos en ese puerto. Cuando el interruptor está encendido, no sabe nada. Una vez que el dispositivo A envía un paquete desde el puerto 1 al dispositivo B, el conmutador descubre que el dispositivo A está detrás del puerto 1 y envía el paquete a todos los puertos. Una vez que el dispositivo B responde a A desde el puerto 2, el conmutador solo envía el paquete en el puerto 1.

Esta relación MAC a puerto se almacena en una tabla en el conmutador. Por supuesto, muchos dispositivos pueden estar detrás de un solo puerto (por ejemplo, si un conmutador está conectado al puerto), por lo que puede haber muchas direcciones MAC asociadas a un solo puerto.

Este algoritmo se rompe cuando la tabla no es lo suficientemente grande como para almacenar todas las relaciones (no hay suficiente memoria en el conmutador). En este caso, el conmutador pierde información y comienza a enviar paquetes a todos los puertos. Esto se puede hacer fácilmente (ahora sabe cómo hackear su red) forjando muchos paquetes con diferentes MAC desde un solo puerto. También se puede hacer falsificando un paquete con el MAC del dispositivo que desea espiar, y el conmutador comenzará a enviarle el tráfico para ese dispositivo.

Los conmutadores administrados se pueden configurar para aceptar un solo MAC de un puerto (o un número fijo). Si se encuentran más MAC en ese puerto, el conmutador puede apagar el puerto para proteger la red o enviar un mensaje de registro al administrador.

EDITAR:

Sobre el tráfico de youtube, el algoritmo descrito anteriormente solo funciona en el tráfico de unidifusión. La difusión de Ethernet (ARP como ejemplo) y la multidifusión de IP (utilizada a veces para la transmisión) se manejan de manera diferente. No sé si YouTube usa la multidifusión, pero podría ser un caso en el que pueda detectar el tráfico que no le pertenece.

Sobre el tráfico de la página web, esto es extraño, ya que el protocolo de enlace TCP debería haber configurado la tabla MAC a puerto correctamente. O la topología de la red conecta en cascada muchos conmutadores muy baratos con pequeñas tablas que siempre están llenas, o alguien está jugando con la red.

jfg956
fuente
Intentaré aprender modelos de interruptores e informar de nuevo. ¿Podría ser el culpable un interruptor barato ubicado en la parte superior de la topología de la red? Supongo que se vuelve aún más complicado en ese caso. ¿Cuál sería la política de un conmutador si un paquete que no pertenece a ninguno de sus puertos llega desde el conmutador barato ubicado encima de sí mismo en la topología?
¿Puede Kavaklıoğlu el
Si un paquete llega a un conmutador y se desconoce la dirección MAC de destino de este paquete, el paquete se envía a todos los puertos (incluso si el conmutador está administrado o no, y el hecho de que el paquete proviene de un conmutador o un dispositivo no es importante). Además, la tabla se actualiza con la dirección MAC de origen del paquete, lo que dará muchas posibilidades: no hay problema con la actualización, la tabla está llena y la adición elimina una entrada válida, o la actualización elimina una relación MAC a puerto válida . Los últimos 2 casos conducen a problemas en la red.
jfg956
6

Este es un malentendido común. A menos que esté configurado estáticamente, un conmutador debe enviar cada paquete a través de cada puerto en el que no pueda probar que no necesita enviar ese paquete.

Esto podría significar que un paquete solo se envía al puerto que contiene el dispositivo de destino. Pero esto no siempre puede ser el caso. Por ejemplo, considere el primer paquete que recibe el switch. ¿Cómo podría saber en qué puerto enviarlo?

Suprimir que los paquetes se envíen al puerto 'incorrecto' es una optimización que un conmutador usa cuando puede. No es una característica de seguridad. Los conmutadores administrados a menudo brindan seguridad de puerto real.

David Schwartz
fuente
44
La frase que está buscando es "inundación de marcos a destinos desconocidos".
Evan Anderson
0

Es posible que el envenenamiento de caché ARP esté vigente. Esta es una técnica utilizada, a menudo maliciosamente, para detectar una red conmutada. Esto se logra al convencer a cada máquina de la red de que cada máquina tiene su dirección MAC (usando el protocolo ARP). Esto hará que el interruptor reenvíe todos los paquetes a su máquina; deseará reenviarlos después del análisis. Esto se usa comúnmente en ataques de hombre en el medio, y está disponible en varias herramientas de rastreo como Cain & Abel o ettercap.

lutzky
fuente