|
|
|
|
| Компьютерный форум OSzone.net » Железо » Сетевое оборудование » Switch/802.3 - [решено] MAC-Flood и дешевый неуправляемый switch |
|
||||
|
|
Switch/802.3 - [решено] MAC-Flood и дешевый неуправляемый switch
|
Старожил Сообщения: 247 |
Всем привет!
Решил немного повысить свою квалификацию в сетевых технологиях. Начал с Layer 2, т.е. с обычных коммутаторов. Насколько известно, в них есть таблица соответствия MAC-адресов и портов. Она "обучается" по принципу сопоставления адреса источника и порта. Таблица не резиновая. И соответственно коммутатор подвержен атаке вида MAC-Flood. Если переполнить таблицу, то можно будет "слушать" трафик всего сегмента сети. Проверяю на практике. Собрал следующий стенд: - 8 портовый дешевый неуправляемый свитч и в него подключены: - Мой компьютер с Win 7 - Два компьютера с CentOS 6 На компьютере с Win 7 стоит виртуальная машина в Virtual Box с ОС Backtrack. Виртуалка соединена мостом. ВСЕ узлы стенда между собой успешно пингуются. Суть эксперимента: 1) На одной из линуксовых машин ставлю постоянный пинг другой. 2) На компьютере с Win 7 запускаю Wireshark и мониторю весь трафик, который не предназначен виндовой машине, и который она не порождает (т.е. все, кроме себя). Снифер не показывает пакетов пинга между линуксами, что есть правильно. 3) В Backtrack запускаю macof -n 100000, т.е. выполню MAC-Flood атаку. 4) Снифер регистрирует все 100000 пакетов с подложными адресами, т.к. атака успешно попала в сегмент сети. 5) После окончания атаки продолжаю мониторить снифер. На данном этапе таблица свича должна быть переполнена и я должен увидеть пакеты пингов между линуксами. Но их нет! Почему? Получается, что данный свитч не подвержен этой атаке. Но это противоречит логике работы коммутатора 2го уровня. Или я чего-то не понимаю? |
|
|
Отправлено: 15:00, 14-11-2013 |
Ветеран
Сообщения: 6683
|
Профиль | Отправить PM | Цитировать VladDV, не факт что при переполнении таблицы свитч становится хабом, банально могут стираться более старые записи и записываться новые
|
|
Отправлено: 16:27, 14-11-2013 | #2 |
|
Старожил Сообщения: 247
|
Профиль | Отправить PM | Цитировать Возможно. Но ведь перед тем, как новая запись снова добавится, один пакет должен же уйти на все порты верно? А в снифер не попадает ни одного пакета.
|
|
Отправлено: 16:32, 14-11-2013 | #3 |
|
Ветеран
Сообщения: 6683
|
Профиль | Отправить PM | Цитировать Цитата VladDV:
|
|
|
Отправлено: 16:36, 14-11-2013 | #4 |
|
Старожил Сообщения: 247
|
Профиль | Отправить PM | Цитировать Есть конечно мысль, что в таблицу перестают добавляться новые записи, но старые-то записи остаются. И свитч использует их, когда они есть, и шлет на все порты в случае отсутствия записи. Завтра на работе проверю эту гипотезу. Отключу кабель из одной линуксовой машины, перезагружу свич, чтобы очистить таблицу, потом проведу атаку и подключу кабель обратно. Если гипотеза верна, то адрес не сможет добавиться и начнет слать пакеты на все порты.
Цитата freese:
|
||
|
Отправлено: 16:37, 14-11-2013 | #5 |
|
Ветеран
Сообщения: 6683
|
Профиль | Отправить PM | Цитировать VladDV, что за свитч?
|
|
Отправлено: 16:42, 14-11-2013 | #6 |
|
Старожил Сообщения: 247
|
Профиль | Отправить PM | Цитировать Цитата freese:
 Завтра гляну, напишу точно. |
|
|
Отправлено: 16:44, 14-11-2013 | #7 |
|
Ветеран
Сообщения: 6683
|
Профиль | Отправить PM | Цитировать возможно просто излишек адресов откидывает, и старые записи остаются, будет проходить пинг и "пакеты до пункта назначения"
|
|
Отправлено: 16:50, 14-11-2013 | #8 |
|
Старожил Сообщения: 247
|
Профиль | Отправить PM | Цитировать Вообще такая стратегия выглядит самой разумной. Если свитч не затирает старые записи и сохраняет их до перезагрузки, тогда он практически гарантированно защитит от атаки этого вида. Вероятность, что через один порт свича в нормальной сети пройдет за время его работы более 8000 новых мак-адресов стремится к нулю. Поэтому все, что переполнит таблицу, можно смело считать вредоносным трафиком и не работать с ним.
|
|
Отправлено: 16:56, 14-11-2013 | #9 |
|
Старожил Сообщения: 247
|
Профиль | Отправить PM | Цитировать Switch DLINK DES1008A, 8 портов.
Эксперимент провел. Действительно, таблица заполняется и все новые записи отбрасываются. Я смог перехватить пакеты вновь подключенного после заполнения таблицы компьютера. При этом от компьютеров, которые были подключены до проведения атаки, пакетов на снифер не поступает. Вот интересно, есть ли какое-то правило, какие свичи как себя ведут в этой ситуации? Например, циско, судя по статьям в интернете, после заполнения таблицы начинает работать как хаб и рассылает ВСЕ пакеты ВСЕХ узлов сети. Получается, что дешевый длинк в этом вопросе оказался надежней |
|
Отправлено: 02:39, 15-11-2013 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Firewall - TCP-flood атака и файервол ESS 4 | SadWolf | Защита компьютерных систем | 7 | 04-10-2011 18:54 | |
| Flood mitigation settings | menpavel | ISA Server / Microsoft Forefront TMG | 11 | 26-02-2010 07:35 | |
| 3COM - Неуправляемый гигабитный коммутатор? | 1tv | Хочу все знать | 2 | 08-12-2007 21:56 | |
| Дешевый, но неплохой системник | Brothermechanic | Выбор отдельных компонентов компьютера и конфигурации в целом | 16 | 03-11-2007 11:41 | |
| Switch 8p + Switch 8p = NetWork 16 computers or not | NihiL | Сетевые технологии | 5 | 13-07-2003 00:49 | |
|
|
Время: 05:03. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
