Ağ koklama yazılımı bir anahtar üzerinden nasıl çalışır?

Bir ağda birkaç standart yönetilmeyen 3com anahtarımız var. Anahtarların yalnızca bir bağlantının akranları arasında paketleri göndermesi gerektiğini düşündüm.

Bununla birlikte, anahtarlardan birine bağlı bir bilgisayarda çalışan ağ koklama yazılımı, ağdaki diğer anahtarlara bağlı diğer ana bilgisayarların trafiğini (yani, youtube video akışı, web sayfaları) algılayabilir.

Bu mümkün mü veya ağ iyice bozuk mu?

David'in cevabını tamamlamak için bir anahtar, bir portun arkasında kimin o portta alınan paketlerin MAC adreslerine bakarak öğrenir. Anahtar açıldığında hiçbir şey bilmiyor. A aygıtı bağlantı noktası 1'den aygıt B'ye bir paket gönderdikten sonra, anahtar A aygıtının bağlantı noktası 1'in arkasında olduğunu öğrenir ve paketi tüm bağlantı noktalarına gönderir. Aygıt B, bağlantı noktası 2'den A'ya yanıt verdiğinde, anahtar yalnızca paketi bağlantı noktası 1'e gönderir.

Bu MAC-port ilişkisi anahtardaki bir tabloda saklanır. Tabii ki, birçok cihaz tek bir bağlantı noktasının arkasında olabilir (bağlantı noktasına örnek olarak bir anahtar takılıysa), bu nedenle tek bir bağlantı noktasıyla ilişkili birçok MAC adresi olabilir.

Tablo tüm ilişkileri saklayacak kadar büyük olmadığında (anahtarda yeterli bellek yok) bu algoritma kırılır. Bu durumda, anahtar bilgi kaybeder ve tüm bağlantı noktalarına paket göndermeye başlar. Bu, tek bir bağlantı noktasından farklı MAC'lara sahip çok sayıda paket oluşturarak kolayca yapılabilir (artık ağınızı nasıl hackleyeceğinizi biliyorsunuz). Ayrıca, casusluk yapmak istediğiniz cihazın MAC'i ile bir paket oluşturarak da yapılabilir ve anahtar size bu cihazın trafiğini göndermeye başlar.

Yönetilen anahtarlar, bir bağlantı noktasından (veya sabit bir numaradan) tek bir MAC kabul edecek şekilde yapılandırılabilir. Bu bağlantı noktasında daha fazla MAC bulunursa, anahtar ağı korumak için bağlantı noktasını kapatabilir veya yöneticiye bir günlük iletisi gönderebilir.

DÜZENLE:

Youtube trafiği hakkında, yukarıda açıklanan algoritma yalnızca tek noktaya yayın trafiğinde çalışır. Ethernet yayını (örnek olarak ARP) ve IP çok noktaya yayın (bazen akış için kullanılır) farklı şekilde işlenir. YouTube'un multicast kullanıp kullanmadığını bilmiyorum, ancak size ait olmayan trafiği koklayabileceğiniz bir durum olabilir.

TCP el sıkışmasının MAC bağlantı noktası tablosunu doğru şekilde ayarlaması gerektiğinden, web sayfası trafiği hakkında bu gariptir. Ağ topolojisi, her zaman dolu küçük tablolarla çok ucuz anahtarları basamaklandırır veya biri ağla uğraşıyor.

Bu yaygın bir yanlış anlamadır. Statik olarak yapılandırılmış edilmemesi halinde, anahtar gerekir üzerinde her paket göndermek her bunun üzerine o paket göndermek gerekmez ispat edemez port.

Bu, bir paketin yalnızca hedef cihazı içeren bağlantı noktasına gönderildiği anlamına gelebilir. Ancak durum her zaman böyle olamaz. Örneğin, anahtarın aldığı ilk paketi düşünün. Hangi portun gönderileceğini nasıl bilebilir?

Paketlerin 'yanlış' bağlantı noktasına gönderilmesini engellemek, bir anahtarın mümkün olduğunda kullandığı bir optimizasyondur. Bu bir güvenlik özelliği değil. Yönetilen anahtarlar genellikle gerçek bağlantı noktası güvenliği sağlar.

ARP Önbellek Zehirlenmesi geçerli olabilir. Bu, anahtarlanmış bir ağı koklamak için genellikle kötü niyetli olarak kullanılan bir tekniktir. Bu, ağdaki her makineyi diğer makinelerin MAC adresinize sahip olduğuna ikna ederek yapılır (ARP protokolünü kullanarak). Bu, anahtarın tüm paketleri makinenize iletmesine neden olur - analizden sonra bunları iletmek istersiniz. Bu, ortadaki adam saldırılarında yaygın olarak kullanılır ve Cain & Abel veya ettercap gibi çeşitli koklama araçlarında bulunur.