저는 기가비트 이더넷을 통해 노트북을 회사 네트워크에 연결하고 인터페이스에서 Wireshark를 실행합니다. 내 노트북의 IP에서만 발생하거나 향하는 모든 브로드캐스트 및 멀티캐스트 트래픽과 유니캐스트 트래픽을 볼 수 있을 것으로 예상합니다.
어떤 이유로 네트워크의 다른 IP로 향하는 모든 유니캐스트 트래픽도 표시됩니다.
왜 그런 일이 일어날 수 있습니까? 이전에 이런 동작을 본 적이 있고 원인이 무엇인지 아는 사람이 있나요?
IIUC, 스위치는 포트에서 수신된 패킷의 MAC 주소를 기록하여 FIB에 기록하고 해당 MAC 주소로 향하는 패킷을 해당 MAC에서 마지막으로 수신된 포트로만 라우팅해야 합니다. 이 경우 스위치는 ARP가 IP를 MAC으로 확인했더라도 해당 IP와 연결된 MAC 주소로부터 패킷을 수신해서는 안 됩니다. 결과적으로 FIB에서는 MAC을 찾을 수 없으므로 패킷을 모든 포트에 브로드캐스트합니다. 하지만 어떤 종류의 이상한 구성으로 인해 그런 일이 발생할까요?
답변1
이는 FIB에서 대상 MAC 주소를 찾을 수 없음을 의미합니다. 이는 스위치에 설정된 짧은 MAC 에이징 타이머(기본 ARP TTL보다 짧음) 또는 네트워크 크기(FIB를 저장하기에는 너무 많은 MAC)로 인한 FIB 리소스 소진 또는 스위치에 대한 활성 공격(프레임을 생성하는 소프트웨어)으로 인해 발생할 수 있습니다. 서로 다른 무작위 소스 MAC을 사용하여 위의 리소스 고갈을 유발하여 FIB를 이러한 생성된 MAC으로 채우고 공격자가 악용할 수 있는 동작을 트리거합니다.