Ich schließe einen Laptop über Gigabit-Ethernet an mein Unternehmensnetzwerk an und führe Wireshark auf der Schnittstelle aus. Ich erwarte, dass der gesamte Broadcast- und Multicast-Verkehr sowie der Unicast-Verkehr entweder nur von der IP-Adresse meines Laptops stammen oder an diese gerichtet sind.
Aus irgendeinem Grund sehe ich auch den gesamten Unicast-Verkehr, der für eine andere IP im Netzwerk bestimmt ist.
Warum könnte das passieren? Hat jemand dieses Verhalten schon einmal gesehen und weiß, was die Ursache dafür sein könnte?
Soweit ich mich erinnere, sollen Switches die MAC-Adresse von Paketen, die an einem Port empfangen werden, notieren, sie im FIB aufzeichnen und Pakete, die an diese MAC-Adresse gerichtet sind, nur an den Port weiterleiten, an dem zuletzt etwas von dieser MAC empfangen wurde. In diesem Fall darf der Switch keine Pakete von der MAC-Adresse empfangen, die dieser IP zugeordnet ist, obwohl ARP die IP offenbar in eine MAC aufgelöst hat. Da die MAC nicht im FIB gefunden wird, sendet er das Paket an alle Ports. Aber welche seltsame Konfiguration könnte das verursachen?
Antwort1
Dies bedeutet, dass die Ziel-MAC-Adresse nicht in FIB gefunden wurde. Dies kann durch einen kurzen MAC-Aging-Timer verursacht werden, der auf einem Switch eingestellt ist (kürzer als der Standard-ARP-TTL) oder durch eine Erschöpfung der FIB-Ressourcen aufgrund der Netzwerkgröße (zu viele MACs für FIB zum Speichern) oder einen aktiven Angriff auf einen Switch – Software, die Frames auf dem Kabel mit unterschiedlichen zufälligen Quell-MACs generiert, um die oben genannte Ressourcenerschöpfung zu verursachen, indem FIB mit diesen generierten MACs gefüllt wird und das Verhalten ausgelöst wird, das Sie sehen und das der Angreifer ausnutzen kann.