Bagaimana cara kerja perangkat lunak sniffing jaringan melalui switch?


18

Kami memiliki beberapa sakelar 3com standar yang tidak dikelola dalam jaringan. Saya pikir switch seharusnya hanya mengirim paket antar koneksi.

Namun tampaknya perangkat lunak mengendus jaringan berjalan pada komputer yang terhubung ke salah satu dari setiap switch yang mampu mendeteksi lalu lintas (yaitu streaming video youtube, halaman web) dari komputer host lain yang terhubung ke switch lain pada jaringan.

Apakah ini bahkan mungkin atau jaringannya benar-benar rusak?


1
Mungkin, Anda perlu melihat posting ini: serverfault.com/questions/214881/ethernet-network-topology
Khaled

Pengalaman saya menunjukkan situasi yang lebih seperti kasus dalam jawaban David. Komputer mengendus tampaknya tidak menerima beberapa tetapi semua paket tetapi semua komputer lain mentransmisikan.
Can Kavaklıoğlu

Apakah Anda yakin tidak hanya melihat lalu lintas siaran pada perangkat lunak mengendus? Hanya karena Anda melihat sesuatu, tidak berarti Anda melihat segalanya.
Jed Daniels

Jawaban:


22

Untuk melengkapi jawaban David, switch mempelajari siapa yang berada di belakang port dengan melihat alamat MAC dari paket yang diterima pada port tersebut. Saat sakelar dihidupkan, ia tidak tahu apa-apa. Setelah perangkat A mengirim paket dari port 1 ke perangkat B, switch mengetahui bahwa perangkat A ada di belakang port 1, dan mengirim paket ke semua port. Setelah perangkat B membalas ke A dari port 2, switch hanya mengirim paket pada port 1.

Hubungan MAC to port ini disimpan dalam tabel di sakelar. Tentu saja, banyak perangkat dapat berada di belakang satu port (jika saklar dicolokkan ke port sebagai contoh), jadi mungkin ada banyak alamat MAC yang terkait dengan satu port.

Algoritma ini rusak ketika tabel tidak cukup besar untuk menyimpan semua hubungan (tidak cukup memori di sakelar). Dalam hal ini, sakelar kehilangan informasi dan mulai mengirim paket ke semua port. Ini dapat dengan mudah dilakukan (sekarang Anda tahu cara meretas jaringan Anda) dengan memalsukan banyak paket dengan MAC berbeda dari satu port tunggal. Ini juga dapat dilakukan dengan memalsukan paket dengan MAC perangkat yang ingin Anda intip, dan sakelar itu akan mulai mengirimkan lalu lintas untuk perangkat itu.

Sakelar yang dikelola dapat dikonfigurasikan untuk menerima satu MAC dari port (atau nomor tetap). Jika lebih banyak MAC ditemukan pada port itu, switch dapat mematikan port untuk melindungi jaringan, atau mengirim pesan log ke admin.

EDIT:

Tentang lalu lintas youtube, algoritme yang dijelaskan di atas hanya berfungsi pada lalu lintas unicast. Siaran Ethernet (ARP sebagai contoh), dan IP multicast (terkadang digunakan untuk streaming) ditangani secara berbeda. Saya tidak tahu apakah youtube menggunakan multicast, tetapi mungkin ini merupakan kasus di mana Anda dapat mengendus lalu lintas yang bukan milik Anda.

Tentang lalu lintas halaman web, ini aneh, karena jabat tangan TCP seharusnya mengatur tabel MAC ke port dengan benar. Entah topologi jaringan membuat banyak switch yang sangat murah dengan tabel kecil yang selalu penuh, atau seseorang mengacaukan jaringan.


Saya akan mencoba mempelajari model sakelar dan melaporkannya kembali. Mungkinkah pelakunya adalah saklar murah yang terletak di bagian atas topologi jaringan? Saya kira itu menjadi lebih rumit dalam kasus itu. Apa yang akan menjadi kebijakan switch jika paket yang bukan milik port-nya datang dari switch murah yang terletak di atas sendiri pada topologi?
Can Kavaklıoğlu

Jika sebuah paket tiba di sebuah saklar, dan alamat tujuan MAC dari paket ini tidak diketahui, paket tersebut dikirim ke semua port (bahkan jika switch dikelola atau tidak dikelola, dan fakta bahwa paket tersebut berasal dari switch atau perangkat tidak penting). Selain itu, tabel diperbarui dengan alamat MAC sumber paket, yang akan mengarah ke banyak kemungkinan: tidak ada masalah dengan pembaruan, tabel penuh dan tambahan menghapus entri yang valid, atau pembaruan menghapus MAC yang valid untuk hubungan port . 2 kasus terakhir menyebabkan masalah pada jaringan.
jfg956

6

Ini adalah kesalahpahaman umum. Kecuali jika dikonfigurasi secara statis, sebuah saklar harus mengirim setiap paket ke setiap port yang tidak dapat membuktikannya tidak perlu mengirim paket itu keluar.

Ini bisa berarti bahwa suatu paket hanya akan dikirim ke port yang berisi perangkat tujuan. Tapi ini tidak selalu terjadi. Misalnya, pertimbangkan paket pertama yang diterima sakelar. Bagaimana ia bisa tahu port tempat pengirimannya?

Menekan paket agar tidak dikirim pada port 'salah' adalah pengoptimalan yang digunakan switch saat memungkinkan. Ini bukan fitur keamanan. Sakelar yang dikelola sering memberikan keamanan port aktual.


4
Frasa yang Anda cari adalah "membanjiri frame ke tujuan yang tidak diketahui".
Evan Anderson

0

Mungkin Keracunan Cache ARP berlaku. Ini adalah teknik yang digunakan, seringkali jahat, untuk mengendus jaringan yang diaktifkan. Ini dilakukan dengan meyakinkan setiap mesin di jaringan bahwa setiap mesin lain memiliki alamat MAC Anda (menggunakan protokol ARP). Ini akan menyebabkan peralihan untuk meneruskan semua paket ke mesin Anda - Anda akan ingin meneruskannya setelah analisis. Ini biasanya digunakan dalam serangan man-in-the-middle, dan tersedia dalam berbagai alat sniffing seperti Cain & Abel atau ettercap.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.