Alex Kud Posted December 13, 2006 Posted December 13, 2006 (edited) Подключен к районной локальной сети. Дома стоит роутер, раздает инет домашним компам. Заметил недавно, что индикатор WAN-порта роутера мигает с такой активностью, как будто я что-то нехило качаю, когда у меня вообще все компы выключены. Отключил роутер, подключил сеть напрямую к компу, запустил снифер CommView и вижу странную картину: каким-то образом до меня доходят в огромном количестве пакеты от нашего VPN-сервера сети (через который и осуществляется выход в интернет), направленные одному из ip-адресов моей ip-подсети, но совсем не моему. VPN-сервер находится за роутером подсети. mac-адрес назначения у приходящих Ethernet-кадров не мой, не широковещательный и не групповой. Насколько я понимаю, я могу получить кадр, направленный не моему mac-адресу, в одном из следующих случаев: 1) Если я подключен к хабу. Но такой вариант я отмел, т.к. если бы я был подключен к хабу, то получал бы и пакеты, идущие в обратном направлении, т.е. от этого ip-адреса к VPN-серверу. Но таких нет ни одного. Очевидно, что для поддержания любого сеанса, тем более VPN-туннеля, пакеты должны ходить в обе стороны и я бы их видел. Так что скорее всего я все-таки подключен к свитчу. 2) Если свитч не нашел в своей таблице соответствия mac-адресов и портов нужного mac-адреса, он передаст кадр на все свои порты. Однако при таком количестве кадров соответствующая запись должна появиться сразу же и не пропадать. 3) Если у свитча произошло переполнение таблицы соответствия mac-адресов и портов. Это, конечно, возможный вариант, но при такой активности передачи рано или поздно нужная запись вытеснила бы какую-нибудь устаревшую из таблицы. А тут ситуация повторяется снова и снова. Такое впечатление, что как только это комп идет в инет, так мне сразу на порт валятся все ответы от VPN-сервера, адресованные ему. А как только он начинает что-то качать, пакеты валятся просто тысячами. Я, честно говоря, в замешательстве. Есть у кого-нибудь какие-то мысли по этому поводу? :) Edited December 13, 2006 by Alex Kud Вставить ник Quote
[anp/hsw] Posted December 14, 2006 Posted December 14, 2006 Если вы находитесь в одном сегменте с тем IP, куда идет транзитный трафик, стоит посмотреть на его MAC, возможно юзер просто прописал Broadcast-ный MAC, в таких случаях: bcast src -> unicast dst = unicast unicast src -> bcast dst = bcast так что, действительно одна половина трафика может проходить к вам. также стоит обратить внимание на параметры соединения порта, в частности half/full duplex; если half duplex - то либо вы действительно подключены в хаб, либо на порту управляемого (если он есть) свича установлен режим "half duplex".... Вставить ник Quote
GluckMaker Posted December 14, 2006 Posted December 14, 2006 Но если адрес назначения не бродкастный, то, по-моему, приходит на ум только один вариант: умный свитч, на котором включён port mirroring... Но вот накукуй? Вставить ник Quote
Egor Posted December 15, 2006 Posted December 15, 2006 (edited) Может быть, это? Входящий пакет попадает в ASIC. Из MAC адреса получателя пакета выбирается определенное количество бит в соответствии с размером Look-up таблицы коммутатора. К примеру, если размер таблицы составляет 1024 записи, то выбирается 10 бит. Которые являются адресом для чтения информации из Look-up таблицы. Прочитанное из таблицы соответствий значение будет списком портов, куда ASICу нужно отправить пакет. Т.е. на недорогих свитчах для коммутации используется не весь МАС адрес. Причина - используемая в буферах сверхбыстрая многопортовая память достаточно дорогая, и увеличение разрядности адресных шин резко повышает стоимость устройства в целом. Но чем меньше "окно" выборки, тем больше вероятность коллизии (совпадение части адресов, и соответственно рассылка по нескольким адресам). Поэтому иногда используют специальный буфер САМ, который хранит только коллизии, что существенно уменьшает вероятность переполнения ими таблицы. Хуже того, если злоумышленник специально или случайно изменит MAC так, что это не попадет в "контролируемую" область - МАС-секьюрити окажется бессилен. Конечно, есть методы контроля этого процесса через CAM (буфер, где хранятся коллизии), но не всегда и не везде они доступны. Так что нельзя забывать, что недорогой коммутатор отделяет от состояния хаба только не слишком высокая вероятность совпадения, которую может перекрыть "умелый" китайский производитель, сэкономивший на правильной прошивке МАС-адресов в сетевые карты. Edited December 15, 2006 by Egor Вставить ник Quote
Alex Kud Posted December 19, 2006 Author Posted December 19, 2006 (edited) Извините, что пропал. Отвечаю: соединение полнодуплексное, так что свитч 100%, мак-адреса в приходящих кадрах обычные юникасты, я сразу написал про это в первом посте. 2Egor: очень интересный вариант. Если так, то получается, что во всех приходящих кадрах у мак-адресов должна совпадать некоторая часть. Приходят, кстати, ко мне кадры не только одного пользователя, а как минимум нескольких, как выяснилось при более детальном наблюдении. Я проверю версию с совпадающей частью мак-адресов и отпишу. Edited December 19, 2006 by Alex Kud Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.