Come identificare i dispositivi L2 in una Wide Area Network?

3

Questo è un esempio di un traceroute per google.com:

TraceRoute from Network-Tools.com to 216.58.194.46 [google.com]
Hop (ms)    (ms)    (ms)             IP Address Host name
1     0       0       0          206.123.64.233   -  
2     Timed out       Timed out       Timed out               -  
3     1       1       1          4.68.70.166     google-level3-3x10g.dallas.level3.net  
4     1       1       1          108.170.240.129      -  
5     1       1       1          209.85.242.53    -  
6     1       1       1          216.58.194.46   dfw25s12-in-f14.1e100.net  

Trace complete

È ovvio che ci dovrebbero essere alcuni dispositivi di rete di livello due e uno strato (dispositivi di intercettazione del livello fisico) tra quelli che non possiamo tracciare o identificare, ma hanno un impatto importante sul risultato.

Questi layer 2 e amp; 1 dispositivi di rete hanno molti ruoli, inclusa la sicurezza. Esistono molte agenzie o organizzazioni che acquisiscono dati sul livello fisico o livello link dati come Programma di sorveglianza PRISM .

Sto cercando una teoria o un modo pratico per trovare un modo per identificare i dispositivi del livello 2 al fine di provare o identificare l'acquisizione dei dati.

    
posta R1- 28.08.2016 - 08:06
fonte

2 risposte

4

You can see some hop counts in the traceroute results, but there are certainly many devices in the middle; if you could capture traffic you could see that when a packet passes a device the source MAC address would change

Questo non è corretto. I dispositivi L2 non cambiano l'indirizzo hardware di origine / destinazione.

Più al punto della tua domanda, se sei all'interno della rete di destinazione potresti provare a sniffare il traffico lldp / cdp / stp per raccogliere informazioni sui dispositivi L2 connessi.

Una volta che i pacchetti attraversano un router, qualsiasi informazione sotto il livello 3 viene persa.

Il "timeout" e gli hop mancanti nel traceroute non sono dispositivi L2 invisibili, sono hop (router) che non inviano pacchetti di tipo 11 ICMP per informare che il TTL è stato superato.

    
risposta data 28.08.2016 - 20:40
fonte
12

Le informazioni dal livello 2 di solito non vengono propagate ai livelli superiori perché non sono necessarie lì. Le eccezioni sono protocolli come ARP ma questo è visibile solo all'interno della rete locale. Ciò significa che non è possibile rilevare direttamente i dispositivi di livello 2 (livello di collegamento) a meno che non si sia connessi allo stesso collegamento o all'interno della stessa rete locale (ARP). Potresti provare ad inferire i possibili effetti di tali dispositivi sulla base di irregolarità nella rete o nei tempi, ma la maggior parte sarà probabilmente invisibile dal remoto.

    
risposta data 28.08.2016 - 09:20
fonte

Leggi altre domande sui tag