किस तरह का नेटवर्क अटैक एक स्विच को हब में बदल देता है?

मैंने आज एक लेख पढ़ा जिसमें बताया गया था कि कैसे एक पैठ परीक्षक 14 मिलियन डॉलर के शेष राशि के साथ एक नकली बैंक खाता बनाने में प्रदर्शित करने में सक्षम था। हालांकि, हमले का वर्णन करने वाला एक पैराग्राफ बाहर खड़ा था:

फिर उसने "बाढ़" स्विच किया - छोटे बक्से जो सीधे डेटा ट्रैफ़िक - डेटा के साथ बैंक के आंतरिक नेटवर्क को अभिभूत करने के लिए। इस तरह का हमला स्विच को "हब" में बदल देता है जो डेटा को अंधाधुंध प्रसारित करता है।

मैं वर्णित प्रभाव से परिचित नहीं हूँ। क्या वास्तव में भारी मात्रा में यातायात भेजकर अपने सभी बंदरगाहों पर यातायात को प्रसारित करने के लिए स्विच करना संभव है? इस स्थिति में वास्तव में क्या हो रहा है?

switch security

— लुकास
स्रोत

इस पोस्ट पर कुछ अन्य विवरण / उत्तर: serverfault.com/questions/345670/… ।

— jfg956

जवाबों:

इसे MAC बाढ़ कहा जाता है । एक "मैक एड्रेस" एक ईथरनेट हार्डवेयर एड्रेस है। एक स्विच एक सीएएम टेबल को बनाए रखता है जो मैक पते को बंदरगाहों पर मैप करता है।

यदि किसी स्विच को एक पैकेट मैक के पते पर नहीं भेजा जाता है, तो वह सीएएम टेबल में नहीं होता है, यह हब की तरह ही सभी पोर्ट्स में बाढ़ आ जाती है। इसलिए यदि आप बड़ी संख्या में मैक पतों के साथ एक स्विच को बाढ़ते हैं, तो आप CAM तालिका से वैध MAC पतों की प्रविष्टियों को बाध्य कर देंगे और उनका ट्रैफ़िक सभी बंदरगाहों पर भर जाएगा।

— डेविड श्वार्ट्ज
स्रोत

क्या स्विच इसे रोकने या सीमित करने के लिए कुछ करता है?

— एलएलक्यू

आमतौर पर नहीं, लेकिन यह काम नहीं है। एक स्विच का काम एक लैन में नोड्स के बीच संचार की सुविधा प्रदान करना है, सुरक्षा नीति या फ़िल्टर जानकारी को लागू नहीं करना है। स्विच इसे दुर्घटना के रूप में करते हैं जिसके परिणामस्वरूप चीजें तेजी से होती हैं और लोग मूर्खतापूर्ण तरीके से इसे सुरक्षा के रूप में समझते हैं। (नैट के साथ भी यही बात होती है।) कुछ और करने के परिणामस्वरूप "गलती से" सुरक्षा प्रदान की जाती है, इसे कभी भी वास्तविक सुरक्षा नहीं माना जाना चाहिए। ऐसे सुरक्षित, प्रबंधित स्विच हैं जो सुरक्षा प्रदान करते हैं, ठीक उसी तरह जैसे NAT कार्यान्वयन हैं जिनमें वास्तविक फायरवॉल भी शामिल हैं।

— डेविड श्वार्ट्ज

इसे मैक बाढ़ कहा जाता है और इस तथ्य का उपयोग करता है कि स्विच के सीएएम टेबल सीमित लंबाई के हैं। यदि वे ओवरफ्लो करते हैं, तो एक स्विच एक हब में बदल जाता है और हर पैकेट को हर पोर्ट पर भेजता है, जो जल्दी से एक नेटवर्क को रोक सकता है।

गलत शब्दावली को सही करने का संपादन किया।

— स्वेन
स्रोत

SvW का अर्थ शायद मैक एड्रेस टेबल है, जो मैक एड्रेस को भौतिक पोर्टों में मैप करता है। अधिकांश स्विच इसके लिए सीमित मात्रा में मेमोरी आवंटित करते हैं, और यह आसानी से एक हमलावर द्वारा बेतरतीब ढंग से स्पूफ मैक पते से फ्रेम भेजकर समाप्त किया जा सकता है। यह तालिका में पहले से ही नहीं किसी भी गंतव्य मैक पते के लिए सभी बंदरगाहों पर बाढ़ के फ्रेम पर स्विच का कारण होगा। सौभाग्य से, यह एमएसीएस की संख्या को सीमित करके कम किया जा सकता है जो किसी दिए गए पोर्ट पर दिखाई दे सकता है।

— जेम्स स्नेनरिंग

सही अवधारणा, गलत शब्दावली ... मेरे से +1 के लिए पर्याप्त बंद करें।

— क्रिस एस

@ क्रिस: यह पहले से ही सवाल में था। जोड़ा गया सब कुछ गलत था।

— डेविड श्वार्ट्ज

@DavidSchwartz: ठीक है, मैंने दो शब्दों को संपादित किया है, जहाँ मैंने स्पष्ट रूप से शब्दावली को मिलाया है और अब उत्तर पूरी तरह से सही है। स्पष्ट रूप से, यह साइट के संपादन कार्य का उपयोग करने का एक शानदार अवसर होगा। इसके बजाय, लोग (जरूरी नहीं कि आप) इसे 2 साल पुराने पोस्ट में "द" के साथ "तेह" को बदलने के लिए इस्तेमाल करें ...

— स्वेन

@SvW: मुझे नहीं लगा कि यह स्पष्ट है कि आपने गलत शब्दावली का इस्तेमाल किया है, कि स्विच का ARP के साथ कुछ करना वास्तव में एक बहुत ही सामान्य कार्यात्मक गलतफहमी है। मैं किसी और के उत्तर को पूरी तरह से बदलने के लिए "एडिट" का उपयोग करना उचित नहीं समझता, यहां तक कि गलत से सही करने के लिए भी। (हो सकता है कि यह मेरी ओर से एक खराब नीति है। मैं मेटा पर चारों ओर खोज करूंगा और देखूंगा कि क्या मैं उस दृश्य में मुख्यधारा से बाहर हूं।)

— डेविड श्वार्ट्ज

जैसा कि ऊपर बताया गया है, स्विच की मैक तालिका नकली मैक पते के साथ 'जहर' है। यह उपकरण macofके dsniffसूट से कार्यक्रम के साथ करना आसान है । चेतावनी: केवल अपने स्वयं के नेटवर्क में शैक्षिक उद्देश्यों के लिए इसे आज़माएं, अन्यथा आप गहरी कानूनी मुसीबत में पड़ जाएंगे!

http://www.monkey.org/~dugsong/dsniff/

— फ्लोयड
स्रोत