¿Cómo identificar los dispositivos L2 en una red de área amplia?

3

Esta es una muestra de un traceroute a google.com:

TraceRoute from Network-Tools.com to 216.58.194.46 [google.com]
Hop (ms)    (ms)    (ms)             IP Address Host name
1     0       0       0          206.123.64.233   -  
2     Timed out       Timed out       Timed out               -  
3     1       1       1          4.68.70.166     google-level3-3x10g.dallas.level3.net  
4     1       1       1          108.170.240.129      -  
5     1       1       1          209.85.242.53    -  
6     1       1       1          216.58.194.46   dfw25s12-in-f14.1e100.net  

Trace complete

Es obvio que debe haber dispositivos de red de capa dos y capa uno (dispositivos de tapping de capa física) que no podamos rastrear o identificar, pero tienen un impacto importante en el resultado.

Estas capas 2 y amp; 1 dispositivos de red tienen muchas funciones, incluida la seguridad. Hay muchas agencias u organizaciones que capturan datos en la capa física o capa de enlace de datos como la programa de vigilancia PRISM .

Estoy buscando una forma práctica o teórica de encontrar una forma de identificar los dispositivos de capa 2 para probar o identificar la captura de datos.

    
pregunta R1- 28.08.2016 - 08:06
fuente

2 respuestas

4
  

Puedes ver algunos conteos de saltos en los resultados de traceroute, pero hay   Ciertamente muchos dispositivos en el medio; si pudieras capturar el trafico   podría ver que cuando un paquete pasa a un dispositivo la dirección MAC de origen   cambiaría

Esto es incorrecto. Los dispositivos L2 no cambian la dirección de hardware de origen / destino.

Más al punto de su pregunta, si está dentro de la red de destino, podría intentar buscar el tráfico de lldp / cdp / stp para recopilar información sobre los dispositivos L2 conectados.

Una vez que los paquetes pasan por un enrutador, se pierde cualquier información debajo de la capa 3.

El "tiempo de espera" y los saltos faltantes en su traceroute no son dispositivos l2 invisibles, son saltos (enrutadores) que no envían paquetes ICMP tipo 11 para informar que se excedió el TTL.

    
respondido por el GnP 28.08.2016 - 20:40
fuente
12

La información de la capa 2 generalmente no se propaga a las capas superiores porque no se necesitan allí. Las excepciones son los protocolos como ARP, pero esto solo es visible dentro de la red local. Esto significa que no es posible detectar directamente los dispositivos de capa 2 (capa de enlace) a menos que esté conectado al mismo enlace o dentro de la misma red local (ARP). Puede tratar de inferir los posibles efectos de dichos dispositivos en función de las irregularidades en la red o la sincronización, pero la mayoría probablemente no sean visibles desde el control remoto.

    
respondido por el Steffen Ullrich 28.08.2016 - 09:20
fuente

Lea otras preguntas en las etiquetas