Sháním 100Mbit/s ethernet HUB (opravdu HUB, ne switch)

Re:Sháním 100Mbit/s ethernet HUB (opravdu HUB, ne switch)
« Odpověď #45 kdy: 05. 03. 2021, 14:19:37 »
Ještě technická poznámka, switch nevidí tutéž MAC adresu současně na více rozhraních, ale vždy jen na jednom, na tom, odkud se mu ozvala naposledy; viz všelijaké útoky proti switchům (bez ochrany).

A teď si představte, že tam třeba jedou dvě TCP spojení, dva stroje downloadují. Sice žijí ve dvou různých VLAN, ale provoz prochází jediným switchem. Střídají se: jeden klient pošle serveru ACK, druhý pošle serveru ACK, server prvnímu pošle kus payloadu a bác: MAC adresa ve switchi (L2 FDB) zůstala naučená směrem k druhému klientovi, ale ten je ve druhé VLAN, takže v první VLAN dojde k zahození paketu... dokud se první klient znovu neozve "haló, já jsem pořád tady"... a má chvilku šanci dostat nějakou tu retransmisi, pokud se mezitím neozve druhý klient...
No a tohle si dělají navzájem.

Chová se to trochu podobně, jako kolidující IP adresy, akorát při dropnutí paketu na L2 není šance, že by se aspoň vracely odesilateli ICMP unreachables (když dorazí paket na neotevřený port) apod.

Správně - duplicitní MAC adresa je podstatou potenciálního DOS útoku.


RDa

  • *****
  • 2 844
    • Zobrazit profil
    • E-mail
Re:Sháním 100Mbit/s ethernet HUB (opravdu HUB, ne switch)
« Odpověď #46 kdy: 05. 03. 2021, 17:10:42 »
Správně - duplicitní MAC adresa je podstatou potenciálního DOS útoku.

Pokud vam jde o bezpecnost / SLA, tak snad mate na koncovych portech sve infrastruktury nastaveny seznam povolencyh MAC, ne? Tudiz jedna se tam dostane, druha uz nikoliv.

Re:Sháním 100Mbit/s ethernet HUB (opravdu HUB, ne switch)
« Odpověď #47 kdy: 05. 03. 2021, 17:17:02 »
Pořád se v tom ztrácím :-(. Pokud jde paket přes router, jsme na L3, a tento paket (správněji rámec) vysílá příslušné síťové rozhraní routeru, L2 adresa odesilatele v daném rámci bude tudíž adresou onoho rozhraní.
Prave ze ne. Kdyz ramec projde L3 routerem, tak IP adresa zdroje je stale ta puvodni (NAT nepocitam, to je jasne), ale MAC adresa zdroje nutne nemusi byt nahrazena tou adresou rozhrani L3 routeru. Prijemce MAC adresu nekoho v jine siti nezajima.
A aby to nebylo tak prehledny, tak nektere switche dokazi zmenit MAC adresu paketu i na L2
https://www.cisco.com/c/en/us/support/docs/switches/catalyst-6000-series-switches/41263-catmac-41263.html#topic1

Re:Sháním 100Mbit/s ethernet HUB (opravdu HUB, ne switch)
« Odpověď #48 kdy: 05. 03. 2021, 22:45:23 »
Správně - duplicitní MAC adresa je podstatou potenciálního DOS útoku.

Pokud vam jde o bezpecnost / SLA, tak snad mate na koncovych portech sve infrastruktury nastaveny seznam povolencyh MAC, ne? Tudiz jedna se tam dostane, druha uz nikoliv.

To ano. Pokud ovšem nemáte nějaký legitimní provoz, který používá pár "well known" unicastových MAC adres, které jsou potažmo shodné v každé další L2 síti. Jsem schopen ve svém archivu dohledat zmínky o historickém průmyslovém protokolu "ABB Masterbus 300", ale pokud vím tak nebyl sám.