Il comportamento dello switch sui pacchetti di flooding non è pericoloso quando la tabella MAC è ancora vuota?

3

Se abbiamo un interruttore con una tabella MAC vuota e tre host sono collegati ad esso - diciamo l'host A, l'host B e l'host C. L'host A invia qualcosa all'host B e passa a ricordare su quale porta è l'host A, ma non sa dove si trova l'host B, quindi trasmette l'intero pacchetto incapsulato (Layer 2, IP, TCP, ecc.) Su tutte le porte . Se in questo momento l'host C ha la scheda NIC in modalità promiscua e lo sniffer in esecuzione sulla sua macchina, può vedere quale host A desidera inviare all'host B.

Questo comportamento non è pericoloso?

    
posta programings 09.10.2014 - 21:51
fonte

2 risposte

2

Non intrinsecamente pericoloso, ma c'è un rischio alcuni . Questo è il modo in cui gli switch L2 funzionano (se non si desidera che il pacchetto dispari errato utilizzi un collegamento point-to-point ;-) A meno che non si abbia una configurazione layer-down bloccata 2 è inevitabile, essenzialmente un compromesso tra sicurezza e facilità di configurazione e amp; gestione. Le opzioni di attenuazione includono porte con indirizzi MAC preconfigurati e NAC 802.1x basato su porte .

Un punto che sembra essere frainteso: alcuni presuppongono che la tabella MAC dello switch che è vuota corrisponda a uno stato di quiescenza della rete e dei client, ad es. gli unici pacchetti che sono inondati sono pacchetti SYN "vuoti" (o più probabilmente ARP o DHCP).

Questo non è necessariamente vero, potresti avere un'esposizione se un utente malintenzionato può svuotare la tabella MAC direttamente o indirettamente (tramite SNMP, riavvio forzato con mezzi amministrativi o tramite un bug del software, esaurimento delle risorse o buon vecchio ciclo di alimentazione) . Tali metodi non sono ottimi modi per acquisire pacchetti poiché la maggior parte coinvolge (brevi) interruzioni di connettività, ma potrebbe essere sfruttabile. (Uno switch di livello 2 non si comporta come un firewall L3 / L4, si preoccupa solo dell'inoltro dei frame, una volta ripristinato, le connessioni client continueranno a non essere influenzate).

Un problema correlato è un flooding nel caso opposto: quando la tabella MAC è completa e l'opzione non ha altra scelta che cadere o allagare. Questo è probabilmente più utile per un utente malintenzionato, se può sostenere l' esaurimento del CAM ha una finestra più lunga per catturare il traffico utile.

    
risposta data 10.10.2014 - 15:00
fonte
7

No, non è pericoloso perché lo switch trasmetterà solo il primo pacchetto, non tutti i pacchetti successivi.

Lo stato delle tabelle interne dello switch sarà simile a questo:

  1. Al primo istante, la tabella è vuota, quindi funziona come un hub, trasmettendo tutto

  2. Quando ComputerA (collegato a porta 1 ), invia un pacchetto a ComputerB (collegato a porta 5 ), lo switch trasmetterà il pacchetto a tutti, ma crea una voce sulla sua tabella: ComputerA è sulla porta 1

  3. ComputerB risponde e lo switch invia il pacchetto a porta 1 e crea una nuova voce sulla tabella: ComputerB è sulla porta 5

  4. Ogni nuovo pacchetto tra ComputerA e ComputerB viene inviato direttamente, senza trasmissione.

Anche se ComputerB è il gateway, ComputerC sarà in grado di ottenere solo un pacchetto inviato da ogni altro computer sulla rete.

    
risposta data 09.10.2014 - 22:40
fonte

Leggi altre domande sui tag