Arkadi Glazyrin писал(а):Иван Левшин aka Ivan L. писал(а):Я лично ничего подобного не видал и не слыхал. ИМХО при переполнении (любом) коммутатор просто клинит и все! Коли я не прав - поделись ссылочкой, штоль
Ну это ничего страшного, если ты об этом не слышал.
Большинство админов как и ты считают, что MAC нельзя изменить, а свичи не снифферится.
Аркадий в этом вопросе абсолютно прав - можно "превратить" коммутатор в хаб, забив ему таблицу адресов. Сделать это, как ни обидно, не очень сложно - объём таблицы среднеарифметического свича редко превышает 8к. Рекомендую почитать неплохую статью на тему взлома level 2 switch, там всё расписано по полочкам:
http://www.blackhat.com/presentations/b ... itches.pdf
В тему: вчера полдня занимались разборками по поводу пролезания чужого
unicast трафика во все порты свича (Cisco Catalyst 2924). Трафик был довольно интенсивный, по 22-му порту (SSH) и односторонний, т.е., станция-источник (скажем A), непрерывно что-то передавала на MAC-адрес станции-приёмника (B) пакетами максимальной длины.
С помощью снифера про и мозговых усилий двух инженеров
удалось проблему вычислить и преодолеть. Попутно поймали за руку "умного" студента, работающего на станции-источнике (занимался сканированием сети, это к описываемой проблеме прямого отношения не имеет, но всё же - приятно
).
Предлагаю, для тренировки мышц мозга, повторить наш вчерашний подвиг и вычислить источник проблемы. Исходные данные:
1. Unicast трафик рассылался во все порты каталисты, "проваливаясь" ниже, во все порты подключённого к ней неуправляемого свича (Bay).
2. Как я уже сказал, трафик был односторонним - A->B - TCP ACK пакеты по 22-му порту.
3. Во всех остальных, собранных в кластер свичах (четыре штуки по пути по uplink-ам от A до B) трафик в чужие порты НЕ пролезал, присутствуя только на тех портах, на которых и должен был присутствовать.
4. Очень важное наблюдение (ключевое) - пингованием машины-приёмника (B) паразитное пролезание трафика во все порты свича прекращалось на некоторое время. Потом, если пинги прекратить, возобновлялось через некоторый интервал времени. Что важно - пингующая машина должна была быть подключена именно к тому свичу, который "поливал" трафик во все порты (т.е., как бы работал хабом для одной пары адресов
).
Вопросы: на какой промежуток времени исчезал паразитный трафик? И что собственно являлось причиной такой "странной" работы свича? На самом деле, как потом стало понятно, свич работал строго по уставу. И вылезание юникастного трафика в чужие порты осуществлялось by design. Но вот почему? Кто угадает?