Как программное обеспечение сетевого анализатора работает через коммутатор?

У нас есть несколько стандартных неуправляемых коммутаторов 3com в сети. Я думал, что коммутаторы должны были отправлять пакеты только между узлами соединения.

Однако, похоже, что программное обеспечение для прослушивания сети, работающее на компьютере, подключенном к любому из коммутаторов, способно обнаруживать трафик (т. Е. Потоковое видео на YouTube, веб-страницы) других хост-компьютеров, подключенных к другим коммутаторам в сети.

Это вообще возможно или сеть полностью сломана?

Чтобы завершить ответ Дэвида, коммутатор узнает, кто находится за портом, просматривая MAC-адреса пакетов, полученных на этот порт. Когда выключатель включен, он ничего не знает. Как только устройство A отправляет пакет с порта 1 на устройство B, коммутатор узнает, что устройство A находится за портом 1, и отправляет пакет на все порты. Как только устройство B ответит на A из порта 2, коммутатор отправляет пакет только через порт 1.

Это отношение MAC к порту хранится в таблице коммутатора. Конечно, многие устройства могут находиться за одним портом (например, если к порту подключен коммутатор), поэтому может быть много MAC-адресов, связанных с одним портом.

Этот алгоритм прерывается, когда таблица недостаточно велика для хранения всех связей (недостаточно памяти в коммутаторе). В этом случае коммутатор теряет информацию и начинает отправлять пакеты на все порты. Это легко сделать (теперь вы знаете, как взломать вашу сеть), подделав множество пакетов с разными MAC-адресами из одного порта. Это также можно сделать, подделав пакет с MAC-адресом устройства, которое вы хотите шпионить, и коммутатор начнет отправлять вам трафик для этого устройства.

Управляемые коммутаторы могут быть настроены на прием одного MAC-адреса от порта (или фиксированного номера). Если на этом порту обнаружено больше MAC-адресов, коммутатор может отключить порт для защиты сети или отправить сообщение журнала администратору.

РЕДАКТИРОВАТЬ:

Что касается трафика YouTube, описанный выше алгоритм работает только на одноадресном трафике. Широковещание Ethernet (например, ARP) и многоадресная IP-рассылка (иногда используется для потоковой передачи) обрабатываются по-разному. Я не знаю, использует ли YouTube многоадресную рассылку, но это может быть случай, когда вы можете прослушивать трафик, не принадлежащий вам.

Что касается трафика веб-страниц, это странно, так как TCP-квитирование должно было правильно настроить MAC для таблицы портов. Либо топология сети каскадирует множество очень дешевых коммутаторов с небольшими таблицами, которые всегда заполнены, либо кто-то вмешивается в работу сети.

Это распространенное недоразумение. Если он не настроен статически, коммутатор должен отправлять каждый пакет через каждый порт, который он не может доказать, что ему не нужно отправлять этот пакет.

Это может означать, что пакет отправляется только на порт, который содержит целевое устройство. Но это не всегда так. Например, рассмотрим самый первый пакет, который получает коммутатор. Как он мог знать, на какой порт его отправлять?

Подавление пакетов от отправки на «неправильный» порт - это оптимизация, которую коммутатор использует, когда может. Это не функция безопасности. Управляемые коммутаторы часто обеспечивают реальную безопасность порта.

Возможно, что ARP Cache Poisoning действует. Это метод, используемый часто, злонамеренно, для прослушивания коммутируемой сети. Это делается путем убеждения каждой машины в сети, что каждая другая машина имеет свой MAC-адрес (используя протокол ARP). Это заставит коммутатор пересылать все пакеты на ваш компьютер - вы захотите переслать их после анализа. Это обычно используется при атаках типа «человек посередине» и доступно в различных инструментах сниффинга, таких как Cain & Abel или ettercap.