Какая сетевая атака превращает коммутатор в концентратор?

Сегодня я прочитал статью о том, как тестер проникновения смог продемонстрировать создание фальшивого банковского счета с балансом в 14 миллионов долларов. Тем не менее, один абзац, описывающий нападение, выделялся:

Затем он «залил» коммутаторы - небольшие блоки, которые направляют трафик данных - чтобы завалить внутреннюю сеть банка данными. Такая атака превращает коммутатор в «концентратор», который передает данные без разбора.

Я не знаком с эффектом, который описан. Действительно ли возможно принудительно переключить широковещательный трафик на все его порты, посылая огромные объемы трафика? Что именно происходит в этой ситуации?

switch security

— Лукас
источник

Некоторые другие подробности в этом посте / ответе: serverfault.com/questions/345670/… .

— jfg956

Ответы:

Это называется MAC-флудингом . «MAC-адрес» - это аппаратный адрес Ethernet. Коммутатор поддерживает таблицу CAM, которая отображает MAC-адреса на порты.

Если коммутатор должен отправить пакет на MAC-адрес, который не входит в его таблицу CAM, он перенаправляет его на все порты, как это делает концентратор. Таким образом, если вы заполняете коммутатор большим количеством MAC-адресов, вы принудительно вводите записи допустимых MAC-адресов из таблицы CAM, и их трафик будет перетекать на все порты.

— Дэвид Шварц
источник

Делает ли коммутатор что-либо, чтобы предотвратить или ограничить это?

— TheLQ

Обычно нет, но это не его работа. Работа коммутатора состоит в том, чтобы облегчить связь между узлами в локальной сети, а не реализовывать политику безопасности или фильтровать информацию. Коммутаторы делают это случайно как следствие ускорения, и люди по глупости начинают думать об этом как о безопасности. (То же самое происходит с NAT.) Безопасность, предоставляемая «случайно» в результате выполнения чего-то другого, никогда не должна рассматриваться как настоящая безопасность. Существуют защищенные управляемые коммутаторы, которые обеспечивают безопасность, так же как существуют реализации NAT, которые также включают в себя реальные межсетевые экраны.

— Дэвид Шварц

Это называется MAC-флудингом и использует тот факт, что таблицы коммутаторов CAM имеют ограниченную длину. Если они переполнены, коммутатор превращается в концентратор и отправляет каждый пакет на каждый порт, что быстро может привести к остановке сети.

Отредактировано, чтобы исправить неверную терминологию.

— Свен
источник

SvW, вероятно, имел в виду таблицу MAC-адресов, которая отображает MAC-адреса на физические порты. Большинство коммутаторов выделяют для этого ограниченный объем памяти, и злоумышленник может легко использовать его для отправки кадров со случайно подделанных MAC-адресов. Это может привести к тому, что коммутатор перенаправит кадры на все порты для любого MAC-адреса назначения, которого еще нет в таблице. К счастью, это может быть уменьшено путем ограничения количества MAC, которые могут появиться на данном порту.

— Джеймс Снирингер

Правильная концепция, неправильная терминология ... Достаточно близко для +1 от меня.

— Крис С

@ChrisS: это было уже в вопросе. Все добавленный ответ был неверным.

— Дэвид Шварц

@DavidSchwartz: Ну, я отредактировал два слова, в которых я явно перепутал терминологию, и теперь ответ полностью верен. Откровенно говоря, это была бы прекрасная возможность самостоятельно использовать функцию редактирования сайта. Вместо этого люди (не обязательно вы) используют его, чтобы заменить «те» на «2» в двухлетнем посте ...

— Свен

@SvW: Я не думал, что было очевидно, что вы просто использовали неправильную терминологию, что коммутаторы как-то связаны с ARP, на самом деле это очень распространенное функциональное недоразумение. Я не считаю целесообразным использовать «редактировать», чтобы полностью изменить чужой ответ, даже от неправильного до правильного. (Может быть, это плохая политика с моей стороны. Я поищу метаданные и посмотрю, не вхожу ли я в мейнстрим с этой точки зрения.)

— Дэвид Шварц

Как было объяснено выше, таблица MAC коммутатора «отравлена» поддельными mac-адресами. Это легко сделать с помощью macofпрограммы из dsniffнабора инструментов. Предупреждение: попробуйте это только в образовательных целях в вашей собственной сети, в противном случае у вас будут серьезные юридические проблемы!

http://www.monkey.org/~dugsong/dsniff/

— Floyd
источник