Comment fonctionne le logiciel de reniflement du réseau via Switch?

Pour compléter la réponse de David, l'interrupteur apprend qui est derrière le port en regardant à travers les adresses MAC des paquets obtenus sur ce port. Lorsque le commutateur est allumé, il ne sait rien. Une fois l'appareil A Envoie un colis du port 1 sur l'appareil B, L'interrupteur apprend que l'appareil A Situé pour le port 1, Et envoie un colis à tous les ports. Une fois l'appareil B Réponses A du port 2, Switch envoie un package uniquement sur le port 1.

La connexion de l'adresse MAC et du port est stockée dans la table de commutation. Bien sûr, dans un port, il peut y avoir de nombreux appareils (Par exemple, si le commutateur est connecté au port), Par conséquent, de nombreuses adresses MAC peuvent être connectées à un seul port.

Cet algorithme ne fonctionne pas lorsque la table n'est pas assez élevée pour stocker toutes les relations (Pas assez de mémoire dans l'interrupteur). Dans ce cas, le commutateur perd des informations et commence à envoyer des paquets à tous les ports. Il est facile de faire (Maintenant, vous savez comment pirater votre réseau), Création de nombreux packages avec différentes adresses MAC d'un port. Il peut également être fait, simulé le paquet avec l'adresse MAC de l'appareil que vous souhaitez espionner et que le commutateur commencera à vous envoyer du trafic pour cet appareil.

Les commutateurs gérés peuvent être configurés pour recevoir une adresse MAC du port. (ou numéros fixes). Si d'autres adresses MAC sont détectées sur ce port, l'interrupteur peut éteindre le réseau pour protéger le réseau ou envoyer le message à l'administrateur.

ÉDITER:

Quant à la circulation youtube, L'algorithme décrit ci-dessus ne fonctionne qu'avec le trafic d'unicast. Transmission de diffusion Ethernet (par exemple, ARP) et mailing IP multidiffusion (Parfois utilisé pour le streaming) traité de différentes manières. Je ne sais pas si youtube MultiCast, mais cela peut être un cas où vous pouvez écouter du trafic qui ne vous appartient pas.

Quant au trafic de page Web, il est étrange, puisque une poignée de main TCP L'adresse MAC doit régler correctement l'adresse MAC pour la table des ports. Soit la topologie de réseau cascade de nombreux commutateurs très bon marché avec de petites tables qui sont toujours remplies ou une personne sera avec le réseau.

C'est une idée fausse commune. S'il n'est pas configuré de manière statique, commutateur

doit

Envoyer chaque paquet

chaque

Le port qu'il ne peut pas prouver ne devrait pas envoyer ce package.

Cela peut signifier que le colis est envoyé uniquement au port contenant le périphérique de destination. Mais cela n'arrive pas toujours. Par exemple, envisagez le tout premier emballage qui reçoit le commutateur. Comment pourrait-il découvrir quel port pour l'envoyer?

Suppression de l'envoi de paquets au "mauvais" port - C'est l'optimisation que le commutateur utilise si possible. Ce n'est pas une fonctionnalité de sécurité. Les commutateurs contrôlés assurent souvent la sécurité du port.

Peut-être empoisonné cache ARP. Cette méthode est souvent utilisée par malveillance pour écouter le réseau de commutation. Ceci est fait par la croyance de chaque voiture en ligne, que l'autre machine a votre adresse MAC (Utilisation du protocole ARP). Il rendra l'interrupteur envoyer tous les paquets à votre ordinateur. - Vous voulez les envoyer après analyse. Ceci est généralement utilisé dans les attaques de "attaquant au milieu" et est disponible dans divers outils reniflant, tels que Cain & Abel ou ettercap.