네트워크 스니핑 소프트웨어는 스위치를 통해 어떻게 작동합니까?


18

네트워크에는 여러 개의 표준 비 관리 형 3com 스위치가 있습니다. 스위치는 연결 피어간에 패키지 만 보내야한다고 생각했습니다.

그러나 스위치 중 하나에 연결된 컴퓨터에서 실행되는 네트워크 스니핑 소프트웨어는 네트워크의 다른 스위치에 연결된 다른 호스트 컴퓨터의 트래픽 (예 : YouTube 비디오 스트리밍, 웹 페이지)을 감지 할 수 있습니다.

이것이 가능합니까 아니면 네트워크가 완전히 망가 졌습니까?


1
아마도이 게시물을 봐야 할 수도 있습니다 : serverfault.com/questions/214881/ethernet-network-topology
Khaled

내 경험에 따르면 데이비드의 대답과 같은 상황이 더 좋습니다. 스니핑 컴퓨터가 일부 패킷이 아닌 모든 패킷을 수신하고있는 것으로 보입니다.
Can Kavaklıoğlu

스니핑 소프트웨어에서 브로드 캐스트 트래픽 만보고 있지 않다고 확신하십니까? 당신이 무언가를 본다고해서 모든 것을보고있는 것은 아닙니다.
Jed Daniels

답변:


22

David의 답변을 완료하기 위해 스위치는 해당 포트에서 수신 된 패킷의 MAC 주소를보고 포트 뒤에있는 사용자를 학습합니다. 스위치 전원이 켜지면 아무것도 알 수 없습니다. 장치 A가 포트 1에서 장치 B로 패킷을 보내면 스위치는 장치 A가 포트 1 뒤에 있음을 알게되고 패킷을 모든 포트로 보냅니다. 장치 B가 포트 2에서 A로 응답하면 스위치는 포트 1의 패킷 만 보냅니다.

이 MAC 대 포트 관계는 스위치의 테이블에 저장됩니다. 물론 많은 장치가 단일 포트 뒤에있을 수 있으므로 (예를 들어 스위치가 포트에 연결되어있는 경우) 단일 포트와 관련된 많은 MAC 주소가있을 수 있습니다.

이 알고리즘은 테이블이 모든 관계 (스위치에 메모리가 충분하지 않음)를 저장할만큼 충분히 크지 않은 경우 중단됩니다. 이 경우 스위치는 정보를 잃어 모든 포트로 패킷을 보내기 시작합니다. 단일 포트에서 다른 MAC로 많은 패킷을 위조하여 쉽게 수행 할 수 있습니다 (현재 네트워크를 해킹하는 방법을 알고 있음). 스파이하려는 장치의 MAC으로 패킷을 위조하여 수행 할 수도 있으며 스위치는 해당 장치에 대한 트래픽을 전송하기 시작합니다.

관리되는 스위치는 포트 (또는 고정 번호)에서 단일 MAC을 허용하도록 구성 할 수 있습니다. 해당 포트에 더 많은 MAC이 있으면 스위치는 포트를 종료하여 네트워크를 보호하거나 관리자에게 로그 메시지를 보낼 수 있습니다.

편집하다:

YouTube 트래픽에 대해 위에서 설명한 알고리즘은 유니 캐스트 트래픽에서만 작동합니다. 이더넷 브로드 캐스트 (예 : ARP)와 IP 멀티 캐스트 (스트리밍에 사용)는 다르게 처리됩니다. YouTube에서 멀티 캐스트를 사용하는지 여부는 알 수 없지만 본인이 아닌 트래픽을 스니핑 할 수 있습니다.

웹 페이지 트래픽에 대해서는 TCP 핸드 셰이크가 MAC을 포트 테이블로 올바르게 설정해야하므로 이상합니다. 네트워크 토폴로지는 항상 가득 찬 작은 테이블을 가진 매우 저렴한 스위치를 캐스케이드로 연결하거나 누군가 네트워크를 망쳐 놓았습니다.


스위치 모델을 배우고 다시보고하려고합니다. 범인이 네트워크 토폴로지 맨 위에 위치한 저렴한 스위치 일 수 있습니까? 이 경우 더 복잡해집니다. 포트에 속하지 않는 패킷이 토폴로지 위에있는 저렴한 스위치에서 도착하는 경우 스위치 정책은 무엇입니까?
Can Kavaklıoğlu

패킷이 스위치에 도착하고이 패킷의 대상 MAC 주소를 알 수없는 경우 스위치가 관리되거나 관리되지 않는 경우에도 패킷이 스위치 또는 장치는 중요하지 않습니다). 또한 테이블은 패킷의 소스 MAC 주소로 업데이트되므로 많은 문제가 발생할 수 있습니다. 업데이트에 문제가없고, 테이블이 가득 찼으며 추가로 유효한 항목이 삭제되거나, 업데이트가 유효한 MAC- 포트 관계를 제거함 . 마지막 2 건은 네트워크에 문제를 일으 킵니다.
jfg956

6

이것은 일반적인 오해입니다. 정적으로 구성되지 않는 한 스위치 모든 포트를 통해 모든 패킷 을 보내야하므로 패킷을 보낼 필요가 없음을 증명할 수 없습니다.

이는 패킷이 대상 장치가 포함 된 포트로만 전송됨을 의미 할 수 있습니다. 그러나 항상 그런 것은 아닙니다. 예를 들어, 스위치가 수신하는 첫 번째 패킷을 고려하십시오. 어떤 포트를 보낼지 어떻게 알 수 있습니까?

'잘못된'포트에서 패킷이 전송되는 것을 억제하는 것은 스위치가 가능할 때 사용하는 최적화입니다. 보안 기능이 아닙니다. 관리되는 스위치는 종종 실제 포트 보안을 제공합니다.


4
당신이 찾고있는 문구는 "알 수없는 목적지에 프레임을 홍수"입니다.
Evan Anderson

0

ARP 캐시 중독이 유효 할 수 있습니다. 이것은 종종 악의적으로 교환 네트워크를 스니핑하는 데 사용되는 기술입니다. 이것은 모든 다른 시스템이 MAC 주소를 가지고있는 네트워크상의 모든 시스템을 확신 시켜서 수행됩니다 (ARP 프로토콜 사용). 그러면 스위치가 모든 패킷을 시스템으로 전달하게됩니다. 분석 후 전달해야합니다. 이것은 중간자 공격에 일반적으로 사용되며 Cain & Abel 또는 ettercap과 같은 다양한 스니핑 도구에서 사용할 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.