Quel type d’attaque réseau transforme un commutateur en hub?

J'ai lu aujourd'hui un article décrivant comment un testeur de pénétration a pu démontrer la création d'un faux compte bancaire avec un solde de 14 millions de dollars. Cependant, un paragraphe décrivant l'attaque s'est démarqué:

Il a ensuite «inondé» de commutateurs - de petites boîtes qui dirigent le trafic de données - pour submerger le réseau interne de la banque de données. Ce type d’attaque fait du commutateur un "hub" qui diffuse des données sans discernement.

Je ne connais pas l'effet décrit. Est-il vraiment possible de forcer un commutateur à diffuser du trafic vers tous ses ports en envoyant un volume de trafic important? Qu'est-ce qui se passe exactement dans cette situation?

switch security

— Lucas
source

Quelques autres détails à ce message / réponse: serverfault.com/questions/345670/… .

— Jfg956

Réponses:

Ceci s'appelle l'inondation de MAC . Une "adresse MAC" est une adresse matérielle Ethernet. Un commutateur gère une table CAM qui mappe les adresses MAC aux ports.

Si un commutateur doit envoyer un paquet à une adresse MAC ne figurant pas dans sa table CAM, il le transmet à tous les ports, comme le ferait un concentrateur. Ainsi, si vous inondez un commutateur avec un plus grand nombre d'adresses MAC, vous forcerez les entrées d'adresses MAC légitimes à sortir de la table CAM et leur trafic sera envoyé à tous les ports.

— David Schwartz
source

Le commutateur fait-il quelque chose pour empêcher ou limiter cela?

— TheLQ

Généralement non, mais ce n'est pas son travail. Le travail d'un commutateur consiste à faciliter la communication entre les nœuds d'un réseau local et non à mettre en oeuvre une politique de sécurité ou des informations de filtrage. Les interrupteurs le font par accident en accélérant les choses et les gens en sont venus à penser que c’était une sécurité. (La même chose se produit avec NAT.) La sécurité fournie "accidentellement" à la suite de quelque chose d'autre ne devrait jamais être considérée comme une sécurité réelle. Il existe des commutateurs sécurisés et gérés offrant une sécurité, de même que des implémentations NAT incluant également des pare-feu.

— David Schwartz

C'est ce qu'on appelle l'inondation MAC et tient compte du fait que les tables de commutateurs CAM ont une longueur limitée. En cas de débordement, un commutateur se transforme en concentrateur et envoie chaque paquet à chaque port, ce qui peut rapidement interrompre un réseau.

Édité pour corriger la mauvaise terminologie.

— Sven
source

SvW voulait probablement dire la table d'adresses MAC, qui mappe les adresses MAC aux ports physiques. La plupart des commutateurs allouent une quantité de mémoire limitée à cet effet, qui peut facilement être épuisée par un attaquant qui envoie des trames à partir d'adresses MAC usurpées de manière aléatoire. Cela entraînerait le commutateur à inonder tous les ports de trames pour toute adresse MAC de destination ne figurant pas déjà dans la table. Heureusement, cela peut être atténué en limitant le nombre de MAC pouvant apparaître sur un port donné.

— James Sneeringer

Bon concept, mauvaise terminologie ... Assez proche pour un +1 de moi.

— Chris S

@ChrisS: C'était déjà dans la question. Tout ce que la réponse a ajouté était incorrect.

— David Schwartz

@ DavidSchwartz: Eh bien, j'ai édité deux mots où j'ai évidemment confondu terminologie et la réponse est maintenant tout à fait correcte. Franchement, cela aurait été une excellente occasion d’utiliser vous-même la fonction de modification du site. Au lieu de cela, les gens (pas nécessairement vous) l'utilisent pour remplacer "le" par "le" dans un message âgé de 2 ans ...

— Sven

@SvW: Je ne pensais pas qu'il était évident que vous utilisiez une terminologie erronée, que les commutateurs aient quelque chose à voir avec ARP est en réalité un malentendu fonctionnel très courant. Je ne considère pas qu'il soit approprié d'utiliser "modifier" pour changer complètement la réponse de quelqu'un d'autre, même incorrecte. (Peut-être que c'est une mauvaise politique de ma part. Je vais chercher dans meta et voir si je suis hors de l'ordinaire de ce point de vue.)

— David Schwartz

Comme expliqué ci-dessus, la table MAC du commutateur est "empoisonnée" avec de fausses adresses mac. C'est facile à faire avec le macofprogramme à partir de la dsniffsuite d'outils. Attention: essayez ceci uniquement à des fins éducatives dans votre propre réseau, sinon vous allez avoir de gros ennuis juridiques!

http://www.monkey.org/~dugsong/dsniff/

— Floyd
source