# Da się wykryć switcha?

## kneczaj

Mam pytanie: czy admin sieci może wykryć switcha? Jeśli tak, to w jaki sposób?Last edited by kneczaj on Sun Aug 05, 2007 9:52 pm; edited 2 times in total

----------

## Poe

chyba, jezeli jest to mozliwe, to ciężko. generalnie switch ma swoj MAC, wiec jest widziany jako normalna sieciówka wsrod innych, no chyba ze switch generuje jakis inny ruch niz pojedynczy komputer, ewentualnie moze jakies sledzenie pakietów (w sensie, ze nagle idzie kilka, niezaleznych pakietów na ten MAC, bo akurat kilku userów za switchem uzywa neta), ale tu juz moge szerzyc niepotrzebne herezje.

----

ojć, przepraszam bardzo. to routery maja maca, switche nie. mój bład. 

czyli za switchem mozna łatwiej wykryc niz za routerem.

----------

## quosek

Poe - od kiedy switch ma swój adres MAC ?????? (widze, ze zdazyles poprawic  :Wink:  )

Switcha zawsze da sie wykryć, ale na podstawie czasow odpowiedzi  :Wink:  Fakt - ktos by musial znac dokladne czasy odpowiedzi (czasy, a nie TTLe) jakie byly przed i po podlaczeniu switcha (a sa to na prawde male wartosci i dodatkowo czasy sie zmieniaja, wiec wykryje to na dobrej sieci tylko pasjonat/maniak/osoba z za duza iloscia wolnego czasu) (oczywiscie warunek to ze tylko to sie w topologii sieci zmienilo - czyli miedzy kompa a reszte sieci wlaczono switcha)

jezeli podepnie sie do switcha 2 kompy, to to jest wykrywalne przez pierwszego lepszego dzieciaka (chocby wspomniane macki - ale komputerow podlaczonych)

dodatkowo jezeli wepniesz switcha w siec i zwiekszysz ilosc kompow to:

- mozesz wywolac konflikt adresow IP (jezeli dodatkowy komp bedzie mial takie IP jak jakis inny)

- niekoniecznie bedziesz mial nete (ograniczenia po adresach MAC, parze MAC/port na switchu programowalnym/routerze, po parze MAC/ip i pare innych sztuczek)

- ale bedziesz mial (z wyjatkiem profesjonalnych sieci z programowalnymi switchami i lepszymi routerami) do otoczenia sieciowego (sieci lan) (oczywiscie jezeli ktos cos tam udostepnia)

a tak z  ciekawosci - czemu ludzie przestali korzystac z hubow ? szybsze i na dodatek bezpieczeniejsze (jak wykladowca mowil - jezeli mialby postawic glowe za bezpieczenstwo sieci, to moglby to zrobic dla sieci opartej na hubach, ale nigdy na switchowanej  :Wink:  - i mial facet racje)Last edited by quosek on Sun Aug 05, 2007 9:30 pm; edited 1 time in total

----------

## Poe

 *quosek wrote:*   

> Poe - od kiedy switch ma swój adres MAC ??????
> 
> 

 

 *Poe wrote:*   

> 
> 
> ----
> 
> ojć, przepraszam bardzo. to routery maja maca, switche nie. mój bład. 
> ...

 

----------

## Kurt Steiner

 *quosek wrote:*   

> Switcha zawsze da sie wykryć, ale na podstawie czasow odpowiedzi  

 Powodzenia, panie majster.  :Very Happy:  To już prościej zauważyć, że mam 8 portów w switchu, a 10 kompów w LANie - ergo. ktoś nam dostawił switcha.  :Wink: 

---Dodane:---

Zresztą jak admin ma zarządzalnego switcha to może poprostu wyciąć intruza na interfejsie i po zabawie.

----------

## quosek

Poe - wlasnie wyedytowalem moj post

Kurt - wczytaj sie - pisalem o wykrywaniu "bez zmiany reszty topologii sieci" (czy jakos to tak ladnie ujalem) - czyli nie dolaczylem innego kompa, tylko w istniejaca siec wpialem switcha (pytajacy nie pytal wprost, czy da sie wykryc, ze postawil switcha i dodal n komputerow)

a co do zarzadzalnego - wlasnie o tym pisalem w przypisywaniu adresow MAC do portow (port = gniazdo w switchu)

----------

## Kurt Steiner

quosek, powiedz, że żartujesz o tych hubach...   :Very Happy: 

----------

## Poe

yyyyyyyyyyyyyyyyyyyyyyyyyyy...... że co proszę? hub dobry?

----------

## kneczaj

Dzięki za odpowiedzi, chodziło mi dokładnie o to czy da się wykryć samego switcha, a nie komputery do niego podłączone. Komputery oczywiście wykryć jest bardzo łatwo i wiem o tym.Last edited by kneczaj on Sun Aug 05, 2007 9:44 pm; edited 1 time in total

----------

## quosek

na poczatku tez bylem zdziwiony ta teoria  :Wink:  ale nie - nie zartuje  :Wink: 

w sieciach opartych na hubach jestes w stanie:

- prostym skryptem wylapac, kto ma karte sieciowa wlaczona w tryb nasluchiwania

- "slyszysz" wszystkie pakiety (jestes jedynym w trybie nasluchiwania  :Wink:  ) wiec jestes w stanie wykryc wszystkie ataki typu "man in the middle" - w sieciach switchowanych nie jestes (wykrywasz wszsytkie sfalszowane odpowiedzi arpowe [zeby bylo smieszniej win i lin zezwala na odpowiedzi bez pytania ...] itd) (co za problem podszyc sie pod gateway i byc tym "nasluchiwaczem" ? sam to robilem pare razy w robocie  :Wink:  )

- jak masz porzadny hub to mozesz na nim robic to samo co na porzadnych switchu (chocby przypisywac MAC do portow)

- dodatkowo co za problem w sieci switchowanej "przeciazyc pamiec" ktoregos ze switchy i przelaczyc go w huba ? (a tego admin w innym segmencie sieci tez nie slyszy"

tak wiec porzadny admin z super sprzetem (im wieksza siec tym bardziej super musi byc sprzet) na podsawie analizy pakeitow jest w stanie wykryc wiecej zagrozen na sieci hubowanej niz switchowanej.

ps. dalej moge podyskutowac jutro z ranka - bo czas isc spac i na rano do "fabryki snow"

----------

## Kurt Steiner

Sry... trochę mi się zejdzie - szczęka mi opadła jakieś dwa piętra niżej... idę jej poszukać... mam nadzieję, że za dziurę w podłodze mnie nie obciążą...

----------

## Poe

cóż.... o w/w teorii sie nei wypowiem, gdyż się nie znam. jedyne doswiadczenie jakie mam z hubami to takie, ze ciągle sie paliły oraz, ze rozsyłają otryzmane pakiety do wszystkich maszyn, które sobie wybierały co chciały (ktos sprawniejszy moze sobie te pakiety przechwytywać), przez co ruch w sieci był wyzszy i generował sie syf.

----------

## Kurt Steiner

 *quosek wrote:*   

> na poczatku tez bylem zdziwiony ta teoria  ale nie - nie zartuje 
> 
> w sieciach opartych na hubach jestes w stanie:
> 
> - prostym skryptem wylapac, kto ma karte sieciowa wlaczona w tryb nasluchiwania

 Hmmm... czy ja wiem, czy to takie proste - podziel się wiedzą na temat sposobu wykrywania tego...

 *quosek wrote:*   

> - "slyszysz" wszystkie pakiety (jestes jedynym w trybie nasluchiwania  ) wiec jestes w stanie wykryc wszystkie ataki typu "man in the middle" - w sieciach switchowanych nie jestes (wykrywasz wszsytkie sfalszowane odpowiedzi arpowe [zeby bylo smieszniej win i lin zezwala na odpowiedzi bez pytania ...] itd) (co za problem podszyc sie pod gateway i byc tym "nasluchiwaczem" ? sam to robilem pare razy w robocie  )

 Jak masz huba to nie jesteś jedynym słuchającym - wszyscy słuchają. To właśnie jak masz switche, to możesz wykryc intruza, bo żeby słuchać musi srać arpami non stop.

 *quosek wrote:*   

> - jak masz porzadny hub to mozesz na nim robic to samo co na porzadnych switchu (chocby przypisywac MAC do portow))

 Pokaż mi pożądny hub na rynku w 21. wieku... Są w ogóle jakiekolwiek w sprzedaży?

 *quosek wrote:*   

> - dodatkowo co za problem w sieci switchowanej "przeciazyc pamiec" ktoregos ze switchy i przelaczyc go w huba ? (a tego admin w innym segmencie sieci tez nie slyszy"

 Żaden problem, ale trzeba to w ogóle zrobić - w przypadku huba nie. I switch będzie się tak zachowywał tylko przez moment - dopóki nie obuduje tablic. Musiałbyś go przeciążać non stop - zostałoby to wykryte.

 *quosek wrote:*   

> tak wiec porzadny admin z super sprzetem (im wieksza siec tym bardziej super musi byc sprzet) na podsawie analizy pakeitow jest w stanie wykryc wiecej zagrozen na sieci hubowanej niz switchowanej.

 Yhmm... Jasne. Weź po uwagę wszystkie kolizje, zapychanie sieci... i zbuduj super sieć na hubach - będziesz sławny.   :Wink: 

 *quosek wrote:*   

> ps. dalej moge podyskutowac jutro z ranka - bo czas isc spac i na rano do "fabryki snow"

 Oj, dobrze się wyśpij... chroniczne zmęczenie prowadzi do różnych zaburzeń...  :Wink:  Bez urazy.   :Wink: 

Pozdrawiam.

----------

## kneczaj

rozważmy przykładową sytuację:

przed:

..........................Serwer

..............................|

..............................|

......................Switch(stary)

........................1  2  3  4

........................|

........................|

....................komp

po:

...........................Serwer

..............................|

..............................|

.......................Switch(stary)

........................1  2  3  4

........................|

........................|

................switch(nowy)

...................1..2..3..4

.................../....\

................../......\

.............komp1...komp2

(coś mi spacje pogubiło więc pozamieniałem je na kropki)

 *Quote:*   

> wlasnie o tym pisalem w przypisywaniu adresow MAC do portow (port = gniazdo w switchu)

 

tzn, że admin mógłby do gniazda 1 switcha(stary) przypożądkować adres MAC ??

Wydaje mi się to dziwne, ale skoro to prawda, to w powyższym przykładzie admin mógłby wykryć że pod adres MAC switcha(stary) portu 1 podpięte są 2 kompy.

----------

## Kurt Steiner

 *kneczaj wrote:*   

> Wydaje mi się to dziwne, ale skoro to prawda, to w powyższym przykładzie admin mógłby wykryć że pod adres MAC switcha(stary) podpięte są 2 kompy.

 Może przyporządkować adres MAC kompa do interfejsu switcha i tylko pakiety z tego kompa są przepuszczane - oznacza to, że drugi komp nie przebije się przez switcha admina - a po pewnym czasie jak admin zauważy, że coś kręcisz to odłączy Ci i drugi...  :Wink: 

----------

## quosek

 *Quote:*   

> 
> 
> Hmmm... czy ja wiem, czy to takie proste - podziel się wiedzą na temat sposobu wykrywania tego... 
> 
> 

 

na poczekaniu znalazlem stronke http://www.securiteam.com/tools/2GUQ8QAQOU.html i http://pl.wikipedia.org/wiki/Promiscuous

ale jak widze troche sie zmienilo od czasu kiedy po raz ostatni bawilem sie "hakowaniem" - podobno jadra z serii 2.6.x (gdzie x wieksze od czegos tam) nie ustawiaja flati promiscuous .... i tu zaczyna sie problem ...

 *Quote:*   

> 
> 
> Jak masz huba to nie jesteś jedynym słuchającym - wszyscy słuchają. To właśnie jak masz switche, to możesz wykryc intruza, bo żeby słuchać musi srać arpami non stop. 
> 
> 

 

tak, ale ... domyslnie nie nasluchujesz calego ruchu  :Wink:  fakt - cale bezpieczenstwo opiera sie na mozliwosci wykrycia trybu promiscuous innych koncowek - co niestety, ale zaczyna byc (jak poczytalem) problematyczne ....

 *Quote:*   

> 
> 
> Pokaż mi pożądny hub na rynku w 21. wieku... Są w ogóle jakiekolwiek w sprzedaży? 
> 
> 

 

U nas w serwerowni podobno jakies kupione jakies 2 lata temu stoja (pare - fakt - siec podzielona na segmenty w baaaaaaardzo dziwne sposoby) - przy czym polaczenia miedzy soba maja "po swiatelku"

 *Quote:*   

> 
> 
> Yhmm... Jasne. Weź po uwagę wszystkie kolizje, zapychanie sieci... i zbuduj super sieć na hubach - będziesz sławny.
> 
> 

 

Dawno temu (no moze nie tak dawno bo jakies 3-4 lata temu) jeszcze na studiach wlasnie projektowal taka siec jeden z doktorow. Oczywiscie byly ograniczenia - siec byla podzielona na segmenty (juz nie pamietam czy switchami, czy za pomoca osobnych podsieci i routerow) i w obrebie kazdej podsieci byla hubowana i nadzorowana. Fakt - nigdy nie czytalem tej pracy, wiec nie wiem do jakich ostatecznie wnioskow doszedl (jaka jest maksmalna ilosc terminali na podsiec, jaka musi byc wydajnosc "nadzorcy" itd) - ale projekt byl, praca tez byla pisana, wiec raczej byly podstawy by do tego tak podchodzic  :Wink: 

----------

## kneczaj

 *Quote:*   

> Może przyporządkować adres MAC kompa do interfejsu switcha i tylko pakiety z tego kompa są przepuszczane - oznacza to, że drugi komp nie przebije się przez switcha admina - a po pewnym czasie jak admin zauważy, że coś kręcisz to odłączy Ci i drugi...

 

Próbowałem już podłączać tego samego kompa lecz inną kartą sieciową z innym MACiem i działała. To chyba oznacza, że w sieci nie ma takich zabezpieczeń  :Wink: .

----------

## karaluch

 *quosek wrote:*   

> ...

 

Moje 3 słowa do tego wszystkiego co nawypisywałes:

Hub jako monitor sieci - owszem, przeciez to co ktos wysyla trafia tez do ciebie wiec mozesz przegladac wszystkie pakiety to faktycznie plus, minus to ze moga robi co wszyscy pozostali.

Hub szybki.. ? Slyszales kiedys o kolizjach, o full duplexie, o sieciach zbudowanych z wicej niz 5 kompow, sorry to straszna bzdura, ze hub jest szybszy, nawet nie znajduje jakiegos racjonalizmu. Np. Masz huba 5 stacji i server i net, wszystkie stacje ciagna cos z serwera, ciagna net i czasem cos miedzy soba, zdajesz sobie sprawe ile tam bedzie kolizji !

Ap ropo kolizji to dobre do poczytania: http://netacad.cabrillo.edu/curriculum/graziani/cis81/presentations/cis81-EthernetFundamentals-Part1.ppt (cisco/perlman)

Hub szybki 2... ? Najszybsze jakie sie pojawialy to gigabitowe, jestem pewnien ze to były jakieś ekstremalne wersje za ekstremalne pieniadze. Dzis coraz czesciej standardem staje sie gigabit zwlaszcza przy coraz tanczym sprzecie, zwlaszcza niezarzadzalnym wiec to inna liga (przepustowaosc rzedu 2000mbitow a 100mbitow)

Za "swiatelko" cie pochwale bo segmenty tak wlasnie powinny byc laczone, nawet pomijajac szybkosc wazne jest bezpieczenstwo (elektrycznosc).

Juz tylko na koniec wspomne, ze zapychac to sobie mozna jakies dlinki za paredziesiat zl, sprawa wyglada nieco inaczej ze sprzetem zarzadzalnym klasy cisco/3com.

Reasumując hub to przezytek, juz dawno wszystkie koncerny przerzucily na produkcje przelacznikow, chyba to nie przypadek!

----------

## sza_ry

Hub szybki:? owszem- dokładniej ma mniejsze opóźnienia nie musi czytać ramki, tylko wzmacnia i wysyła. 

Kolizje jeśli się zdarzają jest sygnał dla administratora że coś z siecią jest nie tak. 

Dlaczego już prawie nie produkują? Switch jest bardziej idiotoodporny, nie musisz znać się na budowie sieci, i nie zawracasz głowy producentowi że jego hub nie działa. Poza tym ze wzrostem prędkości sieci, zmniejsza się dopuszczalna rozpiętość sieci niedzielonej.

I w końcu różnica w cenie już jest żadna więc lepiej produkować więcej jednolitego sprzętu.

----------

## karaluch

 *sza_ry wrote:*   

> ma mniejsze opóźnienia nie musi czytać ramki, tylko wzmacnia i wysyła. 
> 
> Kolizje jeśli się zdarzają jest sygnał dla administratora że coś z siecią jest nie tak.

 

Kolizje to naturalna funkcja huba i ten pseudo zysk z mniejszych opoznien przepada stokrotnie dzieki czekaniu na odpowienida chwile aby nadawac, przy malej ilosc kompow jeszcze moze cos sie uda ale przy wiekszej ilosc kolizji=czekania rosnie lawinowo, powyzej 8 komputerow czekanie staje sie juz na tyle uciazliwe ze trzeba zrobic kolejna domene kolizyjna aby moc nieco pracowac. Kolejny raz przypominam o duplexie. Nie wiem czego tak sie uczepiliscie wyimaginowanych zyskow na hubach

----------

## lazy_bum

Kiedyś znalazłem coś takiego jak natdet (opis), możliwe, że będzie przydatne w tym wpadku.

----------

