Если я правильно понял предыдущего оратора предлагается забивать кам
таблицу
пакетами с несуществущим SA в темпе работы некого реального приложения,
траффик которого
требуется прослушать, тем самым превратив свитч в хаб. Как вы понимаете
- это бред.
vova@express.ru wrote:
>
> On Mon, 24 Apr 2000, Boris Bliznukov wrote:
>
> > VLAN тоже не поможет ...
> > И довольно очевидно почему. Достаточно спросить, что будет делать свитч
> > когда он не знает на каком порту какой MAC адрес ? Cвитч будет бродкастить
> > пакет по всем портам ... CAM на свитчах ограниченного размера (обычно 2-8К)
> > достаточно его постоянно с большой скоростью насыщать новыми адресами, что
> > бы свитч ВСЕГДА слал новые пакеты по всем портам .
>
> это, кстати, та еще задачка надо посылать с карточки пакеты с постоянно
> меняющимся source MAC'ом
С частотй 8К/n мкс ;-)
Что касается вланов то был опубликован эксплойт (или бага стандарта .1q)
по поводу
того что если враг сидит в влане ╧k и транковые порты находятся в этом
же влане ╧k,
то враг может сконструировать пакет с тэгом влана N<какой пожелаешь> и
он благополучно
туда попадет, тем самым обойдя границы вланов (ессно враг знает DA в том
влане).
Так что тупой свитч (не имеющий возможности зеркалить траффик) - самая
надежная защита от сабжа.
>
> > С VLANами если свитч бродкастит по вланам основываясь на том в каких вланах
> > источник,
>
> вот, то есть враг должен иметь тот же VLAN что и порт который он хочет
> "слушать" - то есть в твоей схеме VLAN'ы не используются
>
> > то трафик от роутера(или сервера), который во многих вланах можно
> > слушать в любом из этих вланов.
>
> в одном направлении получается
>
> MAC-address access-list'ы уже отменили ?
>
> > постепено и против этого защита появляется (чегото в последней версии IOSа
> > для каталистов сделали против этого) но как правило большинство свитчей до
> > безобразия тупые...
>
> ну купить каталист или Intel, IMHO, всеже сильно лучше чем шифровать
>
> > так что только шифровать ...
> >
> > --
> > Борис Близнюков, CCIE#4505
>
> --
> TSB Russian Express, Moscow
> Vladimir B. Grebenschikov, vova@express.ru
>
> =============================================================================
> "inet-admins" Internet access mailing list. Maintained by East Connection ISP.
> Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
> Archive is accessible on
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
