* * *¿Cuál es la diferencia entre el monitoreo de red en redes compartidas y conmutadas? Escuchas en una * * * LAN compartida La llamada * * * LAN compartida se refiere a la estructura de Ethernet tradicional que utilizaba HUB como dispositivo de conexión de red en los primeros días. En esta estructura, todas las máquinas comparten la misma línea de transmisión. El hub no tiene concepto de puerto y su método de transmisión de datos es "broadcast". Cuando el concentrador recibe los datos correspondientes, simplemente envía los datos a cada cable del dispositivo al que está conectado. Por ejemplo, si una máquina envía un mensaje "Quiero hablar con Xiao Jin", todos los dispositivos conectados al concentrador recibirán el mensaje, pero sólo la computadora llamada Xiao Jin recibirá y procesará el mensaje, y nada más. La computadora descartará "silenciosamente" el mensaje. Por lo tanto, los datos en la estructura Ethernet * * * no son realmente privados. Es solo que la tarjeta de red será más "caballero" e ignorará los "chismes" que no tienen nada que ver con eso. Desafortunadamente, la tarjeta de red está diseñada. con una opción de "modo de trabajo", lo que provoca que sucedan pesadillas. Cada tarjeta de red tiene básicamente los siguientes modos de funcionamiento: unicast, broadcast, multicast e híbrido. Normalmente, el sistema operativo configurará la tarjeta de red en modo de transmisión. En el modo de transmisión, la tarjeta de red puede recibir todas las tramas de datos de mensajes de transmisión, como el direccionamiento ARP. Además, ignorará los paquetes cuya dirección de destino no sea su propia dirección MAC, es decir, solo recibirá paquetes de datos, paquetes de difusión y multidifusión que se envíen a sí mismo. Si la tarjeta de red está configurada en modo unidifusión o multidifusión, puede causar anomalías en la LAN porque estos dos modos limitan los tipos de mensajes que recibe. El modo promiscuo es la raíz del mal. En modo promiscuo, la tarjeta de red recibe todas las direcciones MAC de destino en el paquete sin realizar ninguna verificación, lo que resulta en una situación en la que, sin importar qué datos pasen, serán recibidos por la tarjeta de red. Aquí es donde comienza el seguimiento. Generalmente, el modo de funcionamiento de la tarjeta de red lo establece el sistema operativo y no hay un modo público para que los usuarios elijan, lo que limita la implementación del monitoreo por parte de los usuarios comunes. Pero desde que la familia de los sniffer se ha desarrollado hasta cierto punto, ha comenzado a tener el poder de configurar el modo de funcionamiento de la tarjeta de red, señalando con el dedo la promiscuidad. Cualquier usuario simplemente necesita marcar la opción apropiada. Su máquina se convirtió en un oído que podía registrar datos transmitidos por cualquier máquina en la red de área local. Debido a las características de la LAN exclusiva, todos pueden recibir datos, lo que resulta en una fuga de información irresistible. Sin embargo, al final este método de seguimiento fue básicamente eliminado. ¿Qué métodos utilizó la gente? Es muy simple. La estructura de la LAN se ha actualizado a una "LAN conmutada". 2. Escuchas en una LAN conmutada Como "LAN conmutada" en lugar de "* * *", su equipo de conexión de red ha sido reemplazado por conmutadores. Lo inteligente de un switch es que cada computadora a la que se conecta es independiente. El conmutador introduce el concepto de "puerto", que generará una tabla de direcciones para almacenar la dirección MAC de cada computadora conectada a él. A partir de entonces, cada interfaz de red existe como un puerto independiente. Excepto por los mensajes declarados como transmisión o multidifusión, el conmutador no permitirá que otros mensajes se envíen como transmisiones como * * * LAN, por lo que incluso si su tarjeta de red está configurada en modo promiscuo, no recibirá datos enviados a otras computadoras porque La dirección de destino de los datos será identificada en el switch y luego enviada al puerto correspondiente a la dirección de la tabla, nunca yendo a casa de otra persona. Esta mejora acabó rápidamente con el método tradicional de monitoreo de LAN, pero la historia a menudo demuestra que las personas son difíciles de conquistar... (1) Ataque a conmutadores: no sé quién descubrió por primera vez este método de ataque en MAC Flood, tal vez debido a la aparición de El interruptor destruyó el trabajo del rastreador, así que me enojé mucho. Otro enfoque es la experimentación por parte de técnicos expertos, imaginando lo que sucede cuando el procesador de un conmutador excede la cantidad de información que puede manejar. No importa desde qué ángulo se mire, al menos este modo de ataque se ha convertido en una realidad: el llamado ataque de inundación MAC consiste en enviar una gran cantidad de paquetes IP que contienen direcciones MAC y direcciones IP falsas al conmutador, haciendo que el conmutador incapaz de procesar tanta información, lo que hace que el dispositivo no funcione correctamente. Este es el llamado modo "fallo". En este modo, el procesador del conmutador ya no puede analizar adecuadamente datagramas ni construir tablas de direcciones de búsqueda. Luego, el conmutador se convierte en un centro normal y envía datos a todos los puertos de forma indiscriminada. Este comportamiento se denomina "inundación" y permite al atacante detectar los datos deseados. Sin embargo, el uso de este método traerá una gran cantidad de paquetes de datos basura a la red, lo que no es bueno para el oyente.
Por lo tanto, la inundación de MAC es poco común. Los conmutadores diseñados con protección de puertos pueden cerrar todos los puertos a la fuerza cuando están sobrecargados, lo que provoca la interrupción de la red. Por lo tanto, la gente ahora tiende a utilizar el protocolo de resolución de direcciones ARP para ataques engañosos. (2) Pesadillas causadas por los protocolos de resolución de direcciones. Volviendo al método de direccionamiento LAN mencionado anteriormente, ya sabemos que dos computadoras dependen de las direcciones MAC para completar la comunicación, independientemente de las direcciones IP, y la dirección MAC de la computadora de destino se transmite a través del Protocolo ARP Obtenido, la dirección obtenida se almacena en la tabla de direcciones MAC y se actualiza periódicamente. Durante este tiempo, la computadora no transmitirá información de direcciones para obtener la dirección MAC de destino, lo que le da al intruso una oportunidad. Cuando una computadora quiere enviar datos a otra computadora, primero consultará su propia tabla de direcciones ARP en función de la dirección IP. Si no hay información MAC de la computadora de destino, se activarán los datos de direccionamiento de transmisión ARP hasta que la computadora de destino devuelva su propia información de dirección. Una vez que la información MAC de la computadora de destino exista en esta tabla de direcciones, la computadora enviará directamente esta dirección como el paquete de encabezado de dirección Ethernet de la capa de enlace de datos. Para evitar que la tabla de direcciones MAC retenga datos erróneos, el sistema borrará la tabla de direcciones MAC después de un período específico y la retransmitirá para obtener una lista de direcciones. La nueva transmisión ARP puede sobrescribir incondicionalmente la tabla de direcciones MAC original. Supongamos que hay dos computadoras A y B comunicándose en la LAN, y la computadora C quiere obtener los datos de comunicación de estas dos computadoras como espía, entonces debe encontrar una manera de insertarse en la línea de datos entre las dos computadoras. En esta red conmutada uno a uno, la computadora C debe convertirse en un dispositivo intermediario para permitir que los datos pasen a través de ella. Para lograr este objetivo, la computadora C comenzará a falsificar mensajes ARP falsos. Hay dos tipos de mensajes de direccionamiento ARP. Uno es el paquete de consulta ARP que envía información de direccionamiento, que la máquina de origen utiliza para transmitir la información de direccionamiento. El otro es el paquete de respuesta ARP de la máquina de destino, que se utiliza para responder. a la dirección MAC de la máquina de origen. En el caso de las escuchas ilegales, si la computadora C quiere espiar la comunicación de la computadora A, falsificará un paquete de respuesta ARP falso con la dirección IP de la computadora B y la dirección MAC de la computadora C y lo enviará a la computadora A. Esto causa que la computadora A La tabla de direcciones MAC se actualiza incorrectamente a la situación en la que la IP de la computadora B corresponde a la dirección MAC de la computadora C. De esta manera, las direcciones MAC obtenidas por el sistema a través de la dirección IP pertenecen todas a la máquina C y los datos se enviarán a la máquina C para monitoreo. Pero esto creará una situación en la que la computadora B, como objetivo original, no recibirá los datos. Entonces la computadora C, que desempeña el papel de pseudoreceptor de datos, debe desempeñar el papel de reenviador y devolver los datos enviados por la computadora A. a la computadora B, permitiendo que la comunicación entre las dos computadoras se desarrolle normalmente. De esta manera, la computadora C forma un enlace de comunicación con la computadora AB, pero para las computadoras A y B, la computadora C siempre es transparente y no saben que la computadora C está escuchando a escondidas la transmisión de datos. Siempre que la computadora C falsifique un paquete de respuesta ARP falso a tiempo antes de que la computadora A reenvíe el paquete de consulta ARP, se puede mantener el enlace de comunicación y se pueden obtener registros de datos continuos sin causar anomalías en la comunicación al oyente. Este comportamiento de monitorear la comunicación de datos entre las computadoras A y B iniciada por la computadora C es "suplantación de identidad ARP" o "ataque ARP". De hecho, la suplantación de ARP en el entorno real generalmente detecta los datos de la máquina B además de los datos de la máquina A. Siempre que la máquina C envíe un paquete de respuesta ARP disfrazado de máquina B a la máquina A y al mismo tiempo envíe un Paquete de respuesta ARP disfrazado de máquina A. El paquete de respuesta ARP se puede insertar en el enlace de comunicación entre ellos como un proxy bidireccional.