Bagaimana cara kerja perangkat lunak sniffing jaringan melalui switch?

Kami memiliki beberapa sakelar 3com standar yang tidak dikelola dalam jaringan. Saya pikir switch seharusnya hanya mengirim paket antar koneksi.

Namun tampaknya perangkat lunak mengendus jaringan berjalan pada komputer yang terhubung ke salah satu dari setiap switch yang mampu mendeteksi lalu lintas (yaitu streaming video youtube, halaman web) dari komputer host lain yang terhubung ke switch lain pada jaringan.

Apakah ini bahkan mungkin atau jaringannya benar-benar rusak?

Untuk melengkapi jawaban David, switch mempelajari siapa yang berada di belakang port dengan melihat alamat MAC dari paket yang diterima pada port tersebut. Saat sakelar dihidupkan, ia tidak tahu apa-apa. Setelah perangkat A mengirim paket dari port 1 ke perangkat B, switch mengetahui bahwa perangkat A ada di belakang port 1, dan mengirim paket ke semua port. Setelah perangkat B membalas ke A dari port 2, switch hanya mengirim paket pada port 1.

Hubungan MAC to port ini disimpan dalam tabel di sakelar. Tentu saja, banyak perangkat dapat berada di belakang satu port (jika saklar dicolokkan ke port sebagai contoh), jadi mungkin ada banyak alamat MAC yang terkait dengan satu port.

Algoritma ini rusak ketika tabel tidak cukup besar untuk menyimpan semua hubungan (tidak cukup memori di sakelar). Dalam hal ini, sakelar kehilangan informasi dan mulai mengirim paket ke semua port. Ini dapat dengan mudah dilakukan (sekarang Anda tahu cara meretas jaringan Anda) dengan memalsukan banyak paket dengan MAC berbeda dari satu port tunggal. Ini juga dapat dilakukan dengan memalsukan paket dengan MAC perangkat yang ingin Anda intip, dan sakelar itu akan mulai mengirimkan lalu lintas untuk perangkat itu.

Sakelar yang dikelola dapat dikonfigurasikan untuk menerima satu MAC dari port (atau nomor tetap). Jika lebih banyak MAC ditemukan pada port itu, switch dapat mematikan port untuk melindungi jaringan, atau mengirim pesan log ke admin.

EDIT:

Tentang lalu lintas youtube, algoritme yang dijelaskan di atas hanya berfungsi pada lalu lintas unicast. Siaran Ethernet (ARP sebagai contoh), dan IP multicast (terkadang digunakan untuk streaming) ditangani secara berbeda. Saya tidak tahu apakah youtube menggunakan multicast, tetapi mungkin ini merupakan kasus di mana Anda dapat mengendus lalu lintas yang bukan milik Anda.

Tentang lalu lintas halaman web, ini aneh, karena jabat tangan TCP seharusnya mengatur tabel MAC ke port dengan benar. Entah topologi jaringan membuat banyak switch yang sangat murah dengan tabel kecil yang selalu penuh, atau seseorang mengacaukan jaringan.

Ini adalah kesalahpahaman umum. Kecuali jika dikonfigurasi secara statis, sebuah saklar harus mengirim setiap paket ke setiap port yang tidak dapat membuktikannya tidak perlu mengirim paket itu keluar.

Ini bisa berarti bahwa suatu paket hanya akan dikirim ke port yang berisi perangkat tujuan. Tapi ini tidak selalu terjadi. Misalnya, pertimbangkan paket pertama yang diterima sakelar. Bagaimana ia bisa tahu port tempat pengirimannya?

Menekan paket agar tidak dikirim pada port 'salah' adalah pengoptimalan yang digunakan switch saat memungkinkan. Ini bukan fitur keamanan. Sakelar yang dikelola sering memberikan keamanan port aktual.

Mungkin Keracunan Cache ARP berlaku. Ini adalah teknik yang digunakan, seringkali jahat, untuk mengendus jaringan yang diaktifkan. Ini dilakukan dengan meyakinkan setiap mesin di jaringan bahwa setiap mesin lain memiliki alamat MAC Anda (menggunakan protokol ARP). Ini akan menyebabkan peralihan untuk meneruskan semua paket ke mesin Anda - Anda akan ingin meneruskannya setelah analisis. Ini biasanya digunakan dalam serangan man-in-the-middle, dan tersedia dalam berbagai alat sniffing seperti Cain & Abel atau ettercap.