¿No es peligroso el comportamiento del cambio a paquetes de inundación cuando la tabla de MAC sigue siendo vacía?

Navega tus respuestas
3

Si tenemos un conmutador con una tabla MAC vacía y hay tres hosts conectados, digamos host A, host B y host C. El host A envía algo al host B, y el switch recuerda en qué puerto está el host A, pero no sabe dónde está el host B, por lo que transmite todo el paquete encapsulado (Capa 2, IP, TCP, etc.) en todos los puertos . Si en este momento el Host C tiene una NIC en modo promiscuo y un sniffer ejecutándose en su máquina, puede ver qué host A quiere enviar al host B.

¿No es peligroso este comportamiento?

    
pregunta programings 09.10.2014 - 21:51
fuente

2 respuestas

2

No es intrínsecamente peligroso, pero hay un riesgo de algo . Esta es la forma en que funcionan los conmutadores L2 (si no desea que el paquete mal dirigido extraño use un enlace punto a punto ;-) A menos que tenga una configuración de capa 2 bloqueada, esto es inevitable, esencialmente una compensación de seguridad contra la facilidad de uso. configuración y amp; administración. Las opciones de mitigación incluyen puertos con direcciones MAC preconfiguradas y NAC basado en puerto 802.1x .

Un punto que parece malinterpretado: algunos suponen que la tabla MAC del conmutador está vacía y se corresponde con un estado inactivo de la red y los clientes, por ejemplo. los únicos paquetes que se inundan son los paquetes SYN "vacíos" (o más probablemente ARP o DHCP).

Esto no es necesariamente cierto, puede tener una exposición si un atacante puede limpiar la tabla MAC directa o indirectamente (a través de SNMP, reinicio forzado por medios administrativos o mediante un error de software, agotamiento de recursos o un buen ciclo de alimentación tradicional) . Dichos métodos no son excelentes formas de capturar paquetes, ya que la mayoría involucra interrupciones (cortas) a la conectividad, pero puede ser explotable. (Un conmutador de capa 2 no se comporta como un firewall L3 / L4, solo se preocupa por el reenvío de marcos, una vez que se haya recuperado, las conexiones del cliente no se verán afectadas).

Un problema relacionado es la inundación en el caso opuesto: cuando la tabla MAC está llena y el conmutador no tiene más remedio que caer o inundar. Esto podría decirse que es más útil para un atacante, si puede mantener el agotamiento de CAM tiene una ventana más larga para capturar tráfico útil.

    
respondido por el mr.spuratic 10.10.2014 - 15:00
fuente
7

No, no es peligroso porque el conmutador solo transmitirá el primer paquete, no todos los paquetes siguientes.

El estado de las tablas internas del conmutador será así:

  1. En el primer instante, la tabla está vacía, por lo que funciona como un concentrador que transmite todo

  2. Cuando ComputerA (conectado al puerto 1 ), envía un paquete a ComputerB (conectado al puerto 5 ), el conmutador transmitirá el paquete a todos, pero cree una entrada en su tabla: ComputerA está en el puerto 1

  3. ComputerB responde, y el conmutador enviará el paquete a port 1 , y creará una nueva entrada en la tabla: ComputerB está en el puerto 5

  4. Cada nuevo paquete entre ComputerA y ComputerB se envía directamente, sin transmisión.

Incluso si ComputerB es la puerta de enlace, ComputerC solo podrá recibir un paquete de cada otra computadora en la red.

    
respondido por el ThoriumBR 09.10.2014 - 22:40
fuente

Lea otras preguntas en las etiquetas

Proxychains + nmap = falla de segmentación ¿Qué agencia firmó digitalmente Cryptowall 2.0 para que pueda ejecutarse sin ser detectado?