Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Сниффинг в сети с коммутаторами

Рубрика: Безопасность -> Уязвимости Linux-сервера
Метки: | |
Понедельник, 26 января 2009 г.
Просмотров: 6825

Коммутаторы используются для повышения производительности сети. Повышение производительности достигается благодаря особому алгоритму работы коммутатора. В отличие от концентратора (хаба) коммутатор «знает», к какому порту подключен какой компьютер, и отправляет пакеты не на все порты, а только на тот порт, к которому подключен получатель.


     К машине уже не будут направлены абсолютно все пакеты. Поскольку коммутатор - устройство интеллектуальное, то в этом случае нужно пользоваться своим интеллектом для перехвата пакетов.

     Коммутатор определяет МАС-адрес компьютера, подключенного к определенному порту, и строит свою внутреннюю таблицу ассоциации портов и МАС-адресов. У него есть свой внутренний MAC-кеш. Также у каждой машины, подключенной к коммутатору есть свой ARP-кеш для преобразования IP-адресов в MAC-адреса. Если удастся испортить этот кеш, то трафик можно перенаправить на компьютер хакера.

     Перехват трафика между клиентом и сервером атакующий начинает с ARP-спуффинга. Он отправляет подделанные ARP-ответы на сервер и клиенту. Отправляется ARP-ответ клиенту, говорящий, что MAC-адрес сервера связан с IP-адресом 172.16.0.7, а серверу - что MAC-адрес клиента тоже связан с этим IP. В результате весь трафик от сервера к клиенту будет перенаправлен на компьютер атакующего. Компьютер крекера, перехватив все пакеты, отправит их дальше - клиенту, чтобы тот ничего не заподозрил. И в обратном направлении, от клиента к серверу, трафик тоже будет перехвачен.

     ARP-спуффинг не единственное решение для перехвата пакетов в сети. У каждого коммутатора есть своя таблица соответствия портов MAC-адресам, так называемая CAM-таблица(Content Addressable Memory). Встроеной памяти у коммутатора обычно мало, поэтому атакующий может очень быстро заполнить её поддельными ARP-ответами, каждый с разным MAC-адресом. Если это случится, коммутатор не сможет определить на какой порт ему нужно отправить пакет и переключится в режим концентратора (хаба). А в этом режиме перехватывать пакеты очень просто.