Que tipo de ataque de rede transforma um switch em um hub?

Eu li um artigo hoje descrevendo como um testador de penetração foi capaz de demonstrar a criação de uma conta bancária falsa com um saldo de US $ 14 milhões. No entanto, um parágrafo descrevendo o ataque se destacou:

Depois, ele "inundou" os switches - pequenas caixas que direcionam o tráfego de dados - para sobrecarregar a rede interna do banco com dados. Esse tipo de ataque transforma o switch em um "hub" que transmite dados indiscriminadamente.

Não estou familiarizado com o efeito descrito. É realmente possível forçar um switch a transmitir tráfego para todas as suas portas enviando grandes quantidades de tráfego? O que exatamente está acontecendo nessa situação?

switch security

— Lucas
fonte

Alguns outros detalhes nesta postagem / resposta: serverfault.com/questions/345670/… .

— Jfg956

Respostas:

Isso é chamado de inundação de MAC . Um "endereço MAC" é um endereço de hardware Ethernet. Um switch mantém uma tabela CAM que mapeia endereços MAC para portas.

Se um switch precisar enviar um pacote para um endereço MAC que não esteja em sua tabela CAM, ele o inundará em todas as portas, exatamente como um hub. Portanto, se você inundar um switch com um número maior de endereços MAC, forçará as entradas de endereços MAC legítimos para fora da tabela CAM e seu tráfego será inundado em todas as portas.

— David Schwartz
fonte

O switch faz alguma coisa para impedir ou limitar isso?

— TheLQ

Normalmente não, mas esse não é o seu trabalho. O trabalho de um comutador é facilitar a comunicação entre nós em uma LAN, não implementar uma política de segurança ou filtrar informações. Os switches fazem isso acidentalmente como conseqüência de tornar as coisas mais rápidas e as pessoas, tolamente, passam a pensar nisso como segurança. (O mesmo acontece com o NAT.) A segurança fornecida "acidentalmente" como consequência de fazer outra coisa nunca deve ser considerada segurança real. Existem switches gerenciados e seguros que fornecem segurança, assim como as implementações de NAT que também incluem firewalls reais.

— David Schwartz

Isso é chamado de inundação de MAC e faz uso do fato de que as tabelas de comutadores CAM são de comprimento limitado. Se eles transbordarem, um switch se transforma em um hub e envia todos os pacotes a todas as portas, o que rapidamente pode interromper a interrupção da rede.

Editado para corrigir a terminologia incorreta.

— Sven
fonte

SvW provavelmente significava a tabela de endereços MAC, que mapeia os endereços MAC para portas físicas. A maioria dos comutadores aloca uma quantidade limitada de memória para isso e pode ser facilmente esgotada por um invasor enviando quadros a partir de endereços MAC aleatoriamente falsificados. Isso faria com que o comutador inundasse os quadros de todas as portas para qualquer endereço MAC de destino que ainda não esteja na tabela. Felizmente, isso pode ser atenuado limitando o número de MACs que podem aparecer em uma determinada porta.

— James Sneeringer

Conceito certo, terminologia errada ... Perto o suficiente para um +1 de mim.

— Chris S

@ Chris: Isso já estava em questão. Tudo a resposta adicionada estava incorreta.

— David Schwartz

@ David David: Bem, eu editei duas palavras onde obviamente misturei terminologia e agora a resposta está totalmente correta. Francamente, essa teria sido uma ótima oportunidade para usar a função de edição do site. Em vez disso, as pessoas (não necessariamente você) o usam para substituir "teh" por "the" em um post de 2 anos ...

— Sven

@ SVW: Eu não acho óbvio que você acabou de usar a terminologia errada, que os switches têm algo a ver com o ARP, na verdade é um mal-entendido funcional muito comum. Não considero apropriado usar "editar" para alterar completamente a resposta de outra pessoa, mesmo de incorreta para correta. (Talvez seja uma má política de minha parte eu vou procurar em torno de meta e ver se eu estou fora do mainstream nessa vista..)

— David Schwartz

Como foi explicado acima, a tabela MAC do switch está "envenenada" com endereços MAC falsos. Isso é fácil de fazer com o macofprograma do dsniffconjunto de ferramentas. Aviso: tente isso apenas para fins educacionais em sua própria rede, caso contrário você terá problemas legais profundos!

http://www.monkey.org/~dugsong/dsniff/

— Floyd
fonte