Ne tür bir ağ saldırısı, hub'a geçiş yapar?

Bugün bir penetrasyon test cihazının 14 milyon dolarlık bir bakiye ile sahte bir banka hesabı oluşturmayı nasıl gösterdiğini açıklayan bir makale okudum . Ancak, saldırıyı açıklayan bir paragraf göze çarpıyordu:

Ardından bankanın iç ağını veriyle boğmak için anahtarlara - veri trafiğini yönlendiren küçük kutular - "su bastı". Bu tür bir saldırı, anahtarı ayrım gözetmeden yayınlayan bir "hub" a dönüşüyor.

Açıklanan efekti aşina değilim. Büyük miktarda trafik göndererek trafiğini tüm limanlarına yayınlamaya bir geçiş yapmak gerçekten mümkün mü? Bu durumda tam olarak neler oluyor?

switch security

— Lucas
kaynak

Bu posta / cevapta diğer bazı detaylar: serverfault.com/questions/345670/… .

— jfg956

Yanıtlar:

Buna MAC seli denir . Bir "MAC adresi" bir Ethernet donanım adresidir. Bir anahtar MAC adreslerini portlara eşleyen bir CAM tablosunu tutar .

Bir anahtar CAM tablosunda olmayan bir MAC adresine paket göndermek zorunda kalırsa, tıpkı bir hub'ın yaptığı gibi tüm bağlantı noktalarına taşar. Bu nedenle, daha fazla sayıda MAC adresi olan bir anahtara basarsanız, meşru MAC adreslerinin girişlerini CAM tablosunun dışına çıkarır ve trafiği tüm bağlantı noktalarına taşınır.

— David Schwartz
kaynak

Anahtar bunu önlemek veya sınırlamak için herhangi bir şey yapıyor mu?

— TheLQ

Genelde hayır, ama bu onun işi değil. Bir anahtarın işi, bir LAN’daki düğümler arasındaki iletişimi kolaylaştırmak, bir güvenlik politikası uygulamamak veya bilgi filtrelemektir. Anahtarlar bunu, işleri daha hızlı hale getirmenin bir sonucu olarak yapar ve insanlar aptalca bir şekilde güvenlik olarak düşünür. (Aynı şey NAT'ta da olur.) Başka bir şey yapmanın sonucu olarak "kazayla" sağlanan güvenlik asla gerçek güvenlik olarak değerlendirilmemelidir. Gerçek güvenlik duvarlarını da içeren NAT uygulamaları gibi, güvenlik sağlayan güvenli ve yönetilen anahtarlar vardır.

— David Schwartz

Buna MAC taşması denir ve anahtarların CAM tablolarının sınırlı uzunlukta olması gerçeğinden yararlanır. Taşarlarsa, bir anahtar bir göbeğe dönüşür ve her paketi her bağlantı noktasına gönderir; bu da bir ağı hızla durdurabilir.

Yanlış terminolojiyi düzeltmek için düzenlenmiştir.

— Sven
kaynak

SvW muhtemelen MAC adreslerini fiziksel portlara eşleyen MAC adres tablosu anlamına geliyordu. Çoğu anahtar, bunun için sınırlı miktarda bellek ayırır ve rastgele sahte MAC adreslerinden kareler gönderen bir saldırgan tarafından kolayca tüketilebilir. Bu, anahtarın tabloda bulunmayan herhangi bir hedef MAC adresi için çerçeveleri tüm bağlantı noktalarına taşmasına neden olur. Neyse ki, bu belirli bir limanda görünebilecek MAC sayısını sınırlayarak hafifletilebilir.

— James Sneeringer

Doğru kavram, yanlış terminoloji ... benden bir +1 için yeterince yakın.

— Chris S

@ChrisS: Bu zaten bir soru oldu. Cevabın eklediği her şey yanlıştı.

— David Schwartz

@DavidSchwartz: Açıkçası terminolojiyi karıştırdığım iki kelimeyi düzenledim ve şimdi cevap tamamen doğru. Açıkçası, sitenin düzenleme işlevini kendiniz kullanmak için harika bir fırsat olurdu. Bunun yerine, insanlar (mutlaka siz değil) 2 yaşındaki bir yazıdaki "teh" yerine "teh" yi kullanırlar ...

— Sven

@SvW: Yanlış terminolojiyi kullandığınızın, anahtarların ARP ile bir ilgisi olduğu açık değildi, aslında çok yaygın bir işlevsel yanlış anlama. Yanlış bir düzeltmeden başkasının cevabını tamamen değiştirmek için "düzenle" yi kullanmanın uygun olduğunu düşünmüyorum. (Belki bu benim açımdan kötü bir politikadır. Meta üzerinde araştırma yapacağım ve ana görüşün dışında olup olmadığımı göreceğim.)

— David Schwartz

Yukarıda açıklandığı gibi, anahtarın MAC tablosu sahte mac adresleriyle 'zehirlenmiştir'. Bu, alet takımındaki macofprogramla yapmak kolaydır dsniff. Uyarı: Bunu yalnızca kendi ağınızdaki eğitim amaçlı deneyin, aksi takdirde derin yasal sorunlar yaşarsınız!

http://www.monkey.org/~dugsong/dsniff/

— Floyd
kaynak