कैसे नेटवर्क सूँघने सॉफ्टवेयर स्विच पर काम करता है?

हमारे पास नेटवर्क में कई मानक गैर-प्रबंधित 3com स्विच हैं। मुझे लगा कि स्विच केवल एक कनेक्शन के साथियों के बीच पैकेज भेजने वाले थे।

हालाँकि यह प्रतीत होता है कि नेटवर्क सूँघने वाला सॉफ्टवेयर किसी एक स्विच से जुड़े कंप्यूटर पर चल रहा है, जो नेटवर्क पर अन्य स्विच से जुड़े अन्य होस्ट कंप्यूटरों के ट्रैफ़िक (यानी youtube वीडियो स्ट्रीमिंग, वेब पेज) का पता लगाने में सक्षम है।

क्या यह भी संभव है या नेटवर्क पूरी तरह से टूट गया है?

डेविड के जवाब को पूरा करने के लिए, एक स्विच सीखता है कि उस पोर्ट पर प्राप्त पैकेट के मैक पते को देखकर एक पोर्ट के पीछे कौन है। जब स्विच चालू होता है, तो यह कुछ भी नहीं जानता है। एक बार डिवाइस A, पोर्ट 1 से डिवाइस B के लिए एक पैकेट भेजता है, स्विच सीखता है कि डिवाइस A पोर्ट 1 के पीछे है, और पैकेट को सभी पोर्ट पर भेजता है। एक बार जब डिवाइस बी पोर्ट 2 से ए का जवाब देता है, तो स्विच केवल पोर्ट 1 पर पैकेट भेजता है।

इस मैक टू पोर्ट रिलेशनशिप को स्विच में एक टेबल में स्टोर किया जाता है। बेशक, कई डिवाइस एकल पोर्ट के पीछे हो सकते हैं (यदि एक स्विच को उदाहरण के रूप में पोर्ट में प्लग किया जाता है), तो एकल पोर्ट के साथ कई मैक पते जुड़े हो सकते हैं।

यह एल्गोरिथ्म तब टूटता है जब तालिका सभी रिश्तों को संग्रहीत करने के लिए पर्याप्त नहीं होती है (स्विच में पर्याप्त मेमोरी नहीं होती है)। इस मामले में, स्विच जानकारी खो देता है और सभी बंदरगाहों को पैकेट भेजना शुरू कर देता है। यह आसानी से किया जा सकता है (अब आप जानते हैं कि एक पोर्ट से विभिन्न मैक के साथ बहुत सारे पैकेट फोर्ज करके आप अपने नेटवर्क को कैसे हैक कर सकते हैं)। यह उस डिवाइस के मैक के साथ एक पैकेट फोर्जिंग करके भी किया जा सकता है जिसे आप जासूसी करना चाहते हैं, और स्विच आपको उस डिवाइस के लिए ट्रैफ़िक भेजना शुरू कर देगा।

प्रबंधित स्विच को पोर्ट (या निश्चित संख्या) से एकल मैक को स्वीकार करने के लिए कॉन्फ़िगर किया जा सकता है। यदि उस पोर्ट पर अधिक एमएसीएस पाए जाते हैं, तो स्विच नेटवर्क की सुरक्षा के लिए पोर्ट को बंद कर सकता है, या व्यवस्थापक को लॉग संदेश भेज सकता है।

संपादित करें:

यूट्यूब ट्रैफ़िक के बारे में, ऊपर वर्णित एल्गोरिथ्म केवल यूनिकस्ट ट्रैफ़िक पर काम करता है। ईथरनेट प्रसारण (उदाहरण के रूप में एआरपी), और आईपी मल्टीकास्ट (स्ट्रीमिंग के लिए कभी-कभी उपयोग किया जाता है) को अलग तरीके से संभाला जाता है। मुझे नहीं पता कि यूट्यूब मल्टीकास्ट का उपयोग करता है, लेकिन यह एक ऐसा मामला हो सकता है जहां आप ट्रैफ़िक को सूँघ सकते हैं जो आपसे संबंधित नहीं है।

वेब पेज ट्रैफ़िक के बारे में, यह अजीब है, क्योंकि टीसीपी हैंडशेक को मैक को पोर्ट टेबल पर सही ढंग से सेट करना चाहिए। या तो नेटवर्क टोपोलॉजी छोटे तालिकाओं के साथ बहुत सस्ते स्विच को कैस्केड करती है जो हमेशा भरे रहते हैं, या कोई व्यक्ति नेटवर्क के साथ खिलवाड़ कर रहा है।

यह एक सामान्य गलतफहमी है। जब तक यह वैधानिक रूप से कॉन्फ़िगर नहीं किया जाता है, तब तक एक स्विच को प्रत्येक पोर्ट पर प्रत्येक पैकेट को भेजना होगा ताकि यह साबित न हो सके कि उस पैकेट को बाहर भेजने की आवश्यकता नहीं है।

इसका मतलब यह हो सकता है कि एक पैकेट केवल उस पोर्ट पर भेजा जाता है जिसमें गंतव्य उपकरण होता है। लेकिन यह हमेशा ऐसा नहीं हो सकता। उदाहरण के लिए, स्विच प्राप्त करने वाले पहले पैकेट पर विचार करें। यह कैसे पता चल सकता है कि इसे किस पोर्ट पर भेजा जाए?

पैकेटों को 'गलत' पोर्ट पर भेजे जाने से रोकना एक अनुकूलन एक स्विच का उपयोग करता है जब यह कर सकता है। यह एक सुरक्षा सुविधा नहीं है। प्रबंधित स्विच अक्सर वास्तविक पोर्ट सुरक्षा प्रदान करते हैं।

यह संभव है कि एआरपी कैश पॉइज़निंग प्रभावी हो। यह एक तकनीक का उपयोग किया जाता है, जो अक्सर दुर्भावनापूर्ण रूप से स्विच किए गए नेटवर्क को सूँघने के लिए होता है। यह नेटवर्क की प्रत्येक मशीन को यह समझाकर किया जाता है कि हर दूसरी मशीन में आपका MAC पता (ARP प्रोटोकॉल का उपयोग करके) है। यह आपकी मशीन के सभी पैकेट को स्विच करने का कारण बनेगा - आप विश्लेषण के बाद उन्हें आगे बढ़ाना चाहेंगे। यह आमतौर पर मानव-में-बीच के हमलों में उपयोग किया जाता है, और विभिन्न सूँघने के साधनों जैसे कि कैन एंड एबेल या ettercap में उपलब्ध है।