Conecto una computadora portátil a través de Gigabit Ethernet a mi red corporativa y ejecuto Wireshark en la interfaz. Espero ver todo el tráfico de transmisión, multidifusión y unidifusión que se origine o esté destinado únicamente a la IP de mi computadora portátil.
Por alguna razón, también veo todo el tráfico de unidifusión destinado a otra IP de la red.
¿Por qué podría pasar eso? ¿Alguien ha visto este comportamiento antes y sabe qué podría causarlo?
IIUC, se supone que los conmutadores toman nota de la dirección MAC de los paquetes recibidos en un puerto, los registran en el FIB y enrutan los paquetes destinados a esa dirección MAC solo al puerto donde se recibió algo de esa MAC por última vez. En este caso, el conmutador no debe recibir paquetes de la dirección MAC asociada con esa IP, aparentemente a pesar de que ARP resolvió la IP a una MAC. Como resultado, dado que la MAC no se encuentra en la FIB, transmite el paquete a todos los puertos. ¿Pero qué tipo de configuración extraña causaría eso?
Respuesta1
Esto significa que la dirección MAC de destino no se encuentra en FIB. Puede ser causado por un temporizador de envejecimiento de MAC corto configurado en un conmutador (más corto que el ARP TTL predeterminado) o por un agotamiento de recursos de FIB debido al tamaño de la red (demasiadas MAC para que FIB las almacene) o un ataque activo a un conmutador: software que genera marcos. en el cable con diferentes MAC de origen aleatorio para provocar el agotamiento de recursos anterior, llenando FIB con estas MAC generadas y desencadenando el comportamiento que ve para que el atacante lo explote.