네트워크 스니핑 소프트웨어는 스위치를 통해 어떻게 작동합니까?

네트워크에는 여러 개의 표준 비 관리 형 3com 스위치가 있습니다. 스위치는 연결 피어간에 패키지 만 보내야한다고 생각했습니다.

그러나 스위치 중 하나에 연결된 컴퓨터에서 실행되는 네트워크 스니핑 소프트웨어는 네트워크의 다른 스위치에 연결된 다른 호스트 컴퓨터의 트래픽 (예 : YouTube 비디오 스트리밍, 웹 페이지)을 감지 할 수 있습니다.

이것이 가능합니까 아니면 네트워크가 완전히 망가 졌습니까?

David의 답변을 완료하기 위해 스위치는 해당 포트에서 수신 된 패킷의 MAC 주소를보고 포트 뒤에있는 사용자를 학습합니다. 스위치 전원이 켜지면 아무것도 알 수 없습니다. 장치 A가 포트 1에서 장치 B로 패킷을 보내면 스위치는 장치 A가 포트 1 뒤에 있음을 알게되고 패킷을 모든 포트로 보냅니다. 장치 B가 포트 2에서 A로 응답하면 스위치는 포트 1의 패킷 만 보냅니다.

이 MAC 대 포트 관계는 스위치의 테이블에 저장됩니다. 물론 많은 장치가 단일 포트 뒤에있을 수 있으므로 (예를 들어 스위치가 포트에 연결되어있는 경우) 단일 포트와 관련된 많은 MAC 주소가있을 수 있습니다.

이 알고리즘은 테이블이 모든 관계 (스위치에 메모리가 충분하지 않음)를 저장할만큼 충분히 크지 않은 경우 중단됩니다. 이 경우 스위치는 정보를 잃어 모든 포트로 패킷을 보내기 시작합니다. 단일 포트에서 다른 MAC로 많은 패킷을 위조하여 쉽게 수행 할 수 있습니다 (현재 네트워크를 해킹하는 방법을 알고 있음). 스파이하려는 장치의 MAC으로 패킷을 위조하여 수행 할 수도 있으며 스위치는 해당 장치에 대한 트래픽을 전송하기 시작합니다.

관리되는 스위치는 포트 (또는 고정 번호)에서 단일 MAC을 허용하도록 구성 할 수 있습니다. 해당 포트에 더 많은 MAC이 있으면 스위치는 포트를 종료하여 네트워크를 보호하거나 관리자에게 로그 메시지를 보낼 수 있습니다.

편집하다:

YouTube 트래픽에 대해 위에서 설명한 알고리즘은 유니 캐스트 트래픽에서만 작동합니다. 이더넷 브로드 캐스트 (예 : ARP)와 IP 멀티 캐스트 (스트리밍에 사용)는 다르게 처리됩니다. YouTube에서 멀티 캐스트를 사용하는지 여부는 알 수 없지만 본인이 아닌 트래픽을 스니핑 할 수 있습니다.

웹 페이지 트래픽에 대해서는 TCP 핸드 셰이크가 MAC을 포트 테이블로 올바르게 설정해야하므로 이상합니다. 네트워크 토폴로지는 항상 가득 찬 작은 테이블을 가진 매우 저렴한 스위치를 캐스케이드로 연결하거나 누군가 네트워크를 망쳐 놓았습니다.

이것은 일반적인 오해입니다. 정적으로 구성되지 않는 한 스위치 는 모든 포트를 통해 모든 패킷 을 보내야하므로 패킷을 보낼 필요가 없음을 증명할 수 없습니다.

이는 패킷이 대상 장치가 포함 된 포트로만 전송됨을 의미 할 수 있습니다. 그러나 항상 그런 것은 아닙니다. 예를 들어, 스위치가 수신하는 첫 번째 패킷을 고려하십시오. 어떤 포트를 보낼지 어떻게 알 수 있습니까?

'잘못된'포트에서 패킷이 전송되는 것을 억제하는 것은 스위치가 가능할 때 사용하는 최적화입니다. 보안 기능이 아닙니다. 관리되는 스위치는 종종 실제 포트 보안을 제공합니다.

ARP 캐시 중독이 유효 할 수 있습니다. 이것은 종종 악의적으로 교환 네트워크를 스니핑하는 데 사용되는 기술입니다. 이것은 모든 다른 시스템이 MAC 주소를 가지고있는 네트워크상의 모든 시스템을 확신 시켜서 수행됩니다 (ARP 프로토콜 사용). 그러면 스위치가 모든 패킷을 시스템으로 전달하게됩니다. 분석 후 전달해야합니다. 이것은 중간자 공격에 일반적으로 사용되며 Cain & Abel 또는 ettercap과 같은 다양한 스니핑 도구에서 사용할 수 있습니다.