Chi può vedere il traffico degli altri in diversi tipi di LAN

2

Vorrei prendere in considerazione tre tipi di LAN:

a) 2 computer sono collegati a un hub, questo hub è collegato a un router per es. accesso a Internet.

b) 2 computer sono collegati a uno switch, questo switch è collegato a un router per es. accesso a Internet.

c) 2 computer sono direttamente collegati al router (switch interno).

In primo luogo, penserei che b) ec) sono gli stessi. La mia domanda principale è: ho ragione, quando dico che il secondo computer potrebbe vedere tutto il traffico internet da e verso il primo computer nel caso a), ma non nei casi b) ec)?

C'è qualche possibilità (avvelenamento / spoofing ARP, ecc.) in cui il secondo computer può vedere il traffico del primo, considerando il caso c) (e b))?

    
posta Kiigass 28.05.2015 - 19:27
fonte

1 risposta

4

La tua ipotesi è per lo più corretta ma non completamente.

Come sospetti, i casi (b) e (c) sono gli stessi perché non ha alcuna importanza se lo switch è integrato in qualche altro hardware o standalone. Quindi chiamerò entrambi i casi (b).

Normalmente uno switch ethernet ottimizza i flussi di traffico in modo tale che i pacchetti non vengano inviati alle porte dove non è necessario andare. È fatto con l'inclinazione dell'indirizzo MAC ed è la ragione per cui il secondo computer non normalmente vede il traffico tra il primo computer e Internet. Ma non è una garanzia quindi non dovresti mai fare affidamento. Dovresti invece vederlo come un'ottimizzazione dell'ottimizzazione delle prestazioni. Ci sono situazioni in cui non sarà efficace:

  • Subito dopo il reset dell'interruttore e prima che abbia avuto la possibilità di apprendere gli indirizzi MAC.
  • Se il numero di indirizzi MAC visualizzati dallo switch supera il numero massimo di indirizzi MAC che può imparare.
  • Se la topologia di livello 2 della rete è stata modificata di recente, i pacchetti potrebbero essere inviati alla porta attraverso la quale un indirizzo MAC è stato raggiunto.
  • ecc ...

Le prime due di queste situazioni provocheranno lo switch che invia i pacchetti a ogni porta, proprio come con un hub stupido.

Inoltre, i pacchetti broadcast e (a volte) multicast saranno comunque inondati a tutte le porte anche quando è in uso l'apprendimento degli indirizzi MAC. Ciò non influirà direttamente sul traffico tra il primo computer e Internet, ma il primo computer può comunque facilmente divulgare informazioni importanti in questo modo attraverso richieste DHCP, pubblicità mDNS e così via.

Is there any possibility (ARP poisoning/ spoofing etc.) where the second computer can see the traffic of the first one, considering case c) (and b))?

Certo. L'utilizzo di uno switch anziché di un hub stupido non impedisce in genere cose come l'avvelenamento ARP o, ad esempio, lo spoofing di un server DHCP, a meno che lo switch non disponga di funzionalità di sicurezza specifiche (e tali funzionalità devono essere attivate, configurate correttamente e gestite ).

    
risposta data 28.05.2015 - 20:55
fonte

Leggi altre domande sui tag