Несколько до ужаса простых вопросов.

Для любителей просто поболтать

Сообщение Иван Левшин aka Ivan L. » 20 янв 2003, 18:08

Снифферинг коммутатора производится путем переполнения таблицы MAC адресов в коммутаторе.
После её переполнения ПО комутатора переводит его в режим хаба и тогда пакеты начинают лезть из всех портов. Тут их и ловишь сниффером. Лично я из них NetXray предпочитаю.


Ежели не секрет - с чево ты это взял??? Я лично ничего подобного не видал и не слыхал. ИМХО при переполнении (любом) коммутатор просто клинит и все! Коли я не прав - поделись ссылочкой, штоль :)
Иван Левшин aka Ivan L.
 
Сообщения: 2429
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Аркадий Глазырин » 20 янв 2003, 22:23

Иван Левшин aka Ivan L. писал(а):Я лично ничего подобного не видал и не слыхал. ИМХО при переполнении (любом) коммутатор просто клинит и все! Коли я не прав - поделись ссылочкой, штоль :)


Ну это ничего страшного, если ты об этом не слышал.
Большинство админов как и ты считают, что MAC нельзя изменить, а свичи не снифферится. :-)
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Угу, всё так и есть...

Сообщение Сергей Дубров » 21 янв 2003, 09:04

Arkadi Glazyrin писал(а):
Иван Левшин aka Ivan L. писал(а):Я лично ничего подобного не видал и не слыхал. ИМХО при переполнении (любом) коммутатор просто клинит и все! Коли я не прав - поделись ссылочкой, штоль :)


Ну это ничего страшного, если ты об этом не слышал.
Большинство админов как и ты считают, что MAC нельзя изменить, а свичи не снифферится. :-)

Аркадий в этом вопросе абсолютно прав - можно "превратить" коммутатор в хаб, забив ему таблицу адресов. Сделать это, как ни обидно, не очень сложно - объём таблицы среднеарифметического свича редко превышает 8к. Рекомендую почитать неплохую статью на тему взлома level 2 switch, там всё расписано по полочкам:

http://www.blackhat.com/presentations/b ... itches.pdf

В тему: вчера полдня занимались разборками по поводу пролезания чужого unicast трафика во все порты свича (Cisco Catalyst 2924). Трафик был довольно интенсивный, по 22-му порту (SSH) и односторонний, т.е., станция-источник (скажем A), непрерывно что-то передавала на MAC-адрес станции-приёмника (B) пакетами максимальной длины.

С помощью снифера про и мозговых усилий двух инженеров :lol: удалось проблему вычислить и преодолеть. Попутно поймали за руку "умного" студента, работающего на станции-источнике (занимался сканированием сети, это к описываемой проблеме прямого отношения не имеет, но всё же - приятно :lol: ).

Предлагаю, для тренировки мышц мозга, повторить наш вчерашний подвиг и вычислить источник проблемы. Исходные данные:

1. Unicast трафик рассылался во все порты каталисты, "проваливаясь" ниже, во все порты подключённого к ней неуправляемого свича (Bay).

2. Как я уже сказал, трафик был односторонним - A->B - TCP ACK пакеты по 22-му порту.

3. Во всех остальных, собранных в кластер свичах (четыре штуки по пути по uplink-ам от A до B) трафик в чужие порты НЕ пролезал, присутствуя только на тех портах, на которых и должен был присутствовать.

4. Очень важное наблюдение (ключевое) - пингованием машины-приёмника (B) паразитное пролезание трафика во все порты свича прекращалось на некоторое время. Потом, если пинги прекратить, возобновлялось через некоторый интервал времени. Что важно - пингующая машина должна была быть подключена именно к тому свичу, который "поливал" трафик во все порты (т.е., как бы работал хабом для одной пары адресов :lol: ).

Вопросы: на какой промежуток времени исчезал паразитный трафик? И что собственно являлось причиной такой "странной" работы свича? На самом деле, как потом стало понятно, свич работал строго по уставу. И вылезание юникастного трафика в чужие порты осуществлялось by design. Но вот почему? Кто угадает? :lol:
Аватара пользователя
Сергей Дубров
 
Сообщения: 2081
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Re: Угу, всё так и есть...

Сообщение Аркадий Глазырин » 21 янв 2003, 10:32

Сергей Дубров писал(а):Сделать это, как ни обидно, не очень сложно - объём таблицы среднеарифметического свича редко превышает 8к.


Хуже. 4Кб даже у таких не простых свичей как D-Link DES-1026G, DES-1024D, DES-1024R+, DES-1016R+, DES-1009G.

И это комутаторы с Гигабтитным портом.

На чисто Гигабитных коммутаторах, например D-Link DGS-1024T ситуация не лучше. У него в частности MAC Table Size всего 32Кб.
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Сообщение Иван Левшин aka Ivan L. » 21 янв 2003, 11:04

Аркадию - приношу свои извинения.
Сергею - спасибо за науку. Насколько я понял, в результате коммутатор входит в бесконечный режим обучения - в течение которого рассылает весь трафик подобно повторителю???
Иван Левшин aka Ivan L.
 
Сообщения: 2429
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Типтаво...

Сообщение Сергей Дубров » 21 янв 2003, 11:48

Иван Левшин aka Ivan L. писал(а):Сергею - спасибо за науку. Насколько я понял, в результате коммутатор входит в бесконечный режим обучения - в течение которого рассылает весь трафик подобно повторителю???

Можно сказать и так, но это было верно только для одного конкретного MAC-адреса :lol:

Что там было на самом деле: на машине A (источник) была запущена Mozilla (X-ы over ssh), которая отрисовывалась на машине B (приёмник). В результате свихивания айпишного стека на одном из двух линухов (скорее всего на B - там очень дохленькая 486-ая, но и A вела себя, м-м-м, не лучшим образом :lol: ), машина A посылала подтверждающие пакеты машине B, а та их просто игнорировала и не отвечала. Поскольку машина B не "светилась" в свиче, в который была непосредственно воткнута A, этот свич совершенно честно "забывал" про B через пять минут, и, когда получал юникастный пакет A->B, флудил его во все дырки. Пингованием B мы добивались того, что свич узнавал, в какой порт надо отправлять пакеты для B, но, по прекращению пинга, и из-за неполучения ответных пакетов от B, каталиста опять возобновляла флудинг пакетов от A к B, через те же самые пять минут.

А флудинга во все порты для остальных свичей не было по одной простой причине - машина B, не отвечая машине A на её призывы :lol: , активно "светилась" в центральных свичах ("ходила" на сервера, в И-нет и т.д.), поэтому эти центральные свичи были в курсе, на каком порту висит машина B, и пересылали пакеты для неё строго через указанный порт.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2081
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Vadziku » 21 янв 2003, 12:12

Еще можно использовать STP протокол для тех же целей.
При наличии включенных механизмов типа PortFast у циски - перманентный сброс таблицы маков.
Vadziku
 
Сообщения: 97
Зарегистрирован: 20 июл 2002, 15:46
Откуда: Almaty, Kazakhstan

Ja-ja :-)

Сообщение Сергей Дубров » 21 янв 2003, 12:58

Vadziku писал(а):Еще можно использовать STP протокол для тех же целей.
При наличии включенных механизмов типа PortFast у циски - перманентный сброс таблицы маков.

Я знаю существенно больше одного способа, как свихнуть мозги свичам... Практически все опробованы на практике :lol: . И VLAN-ы нам - не помеха :lol:
Аватара пользователя
Сергей Дубров
 
Сообщения: 2081
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Re: Ja-ja :-)

Сообщение Vadziku » 21 янв 2003, 13:32

Сергей Дубров писал(а):
Vadziku писал(а):Еще можно использовать STP протокол для тех же целей.
При наличии включенных механизмов типа PortFast у циски - перманентный сброс таблицы маков.

Я знаю существенно больше одного способа, как свихнуть мозги свичам... Практически все опробованы на практике :lol: . И VLAN-ы нам - не помеха :lol:

Так поделился бы.
Насколько я понимаю вланы не помеха отнюдь не везде, как реализовано ...
Vadziku
 
Сообщения: 97
Зарегистрирован: 20 июл 2002, 15:46
Откуда: Almaty, Kazakhstan

Re: Ja-ja :-)

Сообщение Сергей Дубров » 21 янв 2003, 14:21

Vadziku писал(а):
Сергей Дубров писал(а):
Vadziku писал(а):Еще можно использовать STP протокол для тех же целей.
При наличии включенных механизмов типа PortFast у циски - перманентный сброс таблицы маков.

Я знаю существенно больше одного способа, как свихнуть мозги свичам... Практически все опробованы на практике :lol: . И VLAN-ы нам - не помеха :lol:

Так поделился бы.
Насколько я понимаю вланы не помеха отнюдь не везде, как реализовано ...

Ссылку выше я давал - там несколько способов описано (сотрудником киски, что приятно :-) ) . На тему vlan-ов на SANS-е можно поискать документы. Кстати, в кисковской реализации vlan-ы по дефолту весьма уязвимы, особенно умолчательный VLAN 1 (цитата):

"Be paranoid: Do not use VLAN 1 for anything"
Аватара пользователя
Сергей Дубров
 
Сообщения: 2081
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

IMXO

Сообщение Андрей Чистяков » 22 янв 2003, 11:30

Ух ты! понаписали то.
Когда я постил свою мессагу то подразумевал именно обычного любопытного зверька (не крякера).
И ТО, сисадмин должен иметь план распределения MACов в своей сети, и соответственно ему настроить свои свичи для пресечения появления 'левых' или несанкционированного перемещения MACов по сегментам.(Хотябы на магистральных коммутаторах) :oops:
Андрей Чистяков
 
Сообщения: 27
Зарегистрирован: 06 июн 2002, 15:31
Откуда: Екатеринбург

Re: IMXO

Сообщение Аркадий Глазырин » 22 янв 2003, 12:20

Андрей Чистяков писал(а):несанкционированного перемещения MACов по сегментам.(Хотябы на магистральных коммутаторах)


MAC не могут "несанкционированно перемещаться по магистральным коммутаторам". Более того. Они вообще перемещаться никуда не могут.
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Re: IMXO

Сообщение Vadziku » 22 янв 2003, 12:27

Андрей Чистяков писал(а):Ух ты! понаписали то.
Когда я постил свою мессагу то подразумевал именно обычного любопытного зверька (не крякера).
И ТО, сисадмин должен иметь план распределения MACов в своей сети, и соответственно ему настроить свои свичи для пресечения появления 'левых' или несанкционированного перемещения MACов по сегментам.(Хотябы на магистральных коммутаторах) :oops:

Слишком большая администраторская нагрузка если сеть превышает 50-100 машин.
Vadziku
 
Сообщения: 97
Зарегистрирован: 20 июл 2002, 15:46
Откуда: Almaty, Kazakhstan

Re:Re: IMXO

Сообщение Андрей Чистяков » 23 янв 2003, 10:25

Arkadi Glazyrin писал(а):
Андрей Чистяков писал(а):несанкционированного перемещения MACов по сегментам.(Хотябы на магистральных коммутаторах)


MAC не могут "несанкционированно перемещаться по магистральным коммутаторам". Более того. Они вообще перемещаться никуда не могут.


Шутка!!? Не-е, похоже не дошло ... э-э сочувствую.

P.S.
"несанкционированно перемещаться по магистральным коммутаторам". - если это цитата(!), то кто автор?
Андрей Чистяков
 
Сообщения: 27
Зарегистрирован: 06 июн 2002, 15:31
Откуда: Екатеринбург

Re: IMXO

Сообщение Андрей Чистяков » 23 янв 2003, 10:42

Vadziku писал(а):Слишком большая администраторская нагрузка если сеть превышает 50-100 машин.


Ну не выходят-же они (компы, порты) из строя каждый день пачками.
Структура сети тоже редко меняется.

З.Ы.
Лиха беда - НАЧАЛО. Поддерживать - легче.(Хотя.. нет правил без иключений) :wink:
Андрей Чистяков
 
Сообщения: 27
Зарегистрирован: 06 июн 2002, 15:31
Откуда: Екатеринбург

Пред.След.

Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron