vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

#310 Атака на коммутатор

Дата публикации: 17.06.2007
Количество просмотров: 18669


Трое монтажников - грубое нарушение технологии,
которое может закончиться пол-литрой.

Разное.

Небольшое сообщение вдогонку к недавно прошедшей Конференции Российских Операторов Связи. Уважаемые участники, присылайте фотовидеоматериалы, на этой неделе заканчиваю их обработку и начинаю адресную рассылку. Особенно интересует момент фуршета - пока обнаружено всего несколько кадров этого мероприятия...

Традиционные ссылки. Надеюсь, они не успели существенно устареть за длинный безобзорный промежуток.

Далекая от телекома тема, знаменующая, между тем, существенный прорыв в будущий мобильный мир: передавать электричество теперь можно и без проводов. Не верится, что такой прорыв был сделан в традиционной физике, где, казалось бы, все давно исхожено поколениями исследователей.

Безусловно, нужно вспомнить Николо Тесла (#99), который добивался куда более впечатляющих результатов почти на столетие ранее.

Но тогда феерическое зрелище резонансных катушек и рукотворных молний прошло скорее как фокусы сумасшедшего гения, и было незаслуженно забыто. Теперь же сложно воспринимать подобные новости иначе, чем начало игры большего бизнеса (на не менее большие ставки).

... Интересно, скоро ли появится IEEE на PоWiFi?

 


Динамика развития сети Golden Wi-Fi в картинках. Можно поставить в слайд-шоу и смотреть как забавный мультфильм.
Заканчивается история пока 31-м мая:

Golden Wi-Fi

Впрочем, не чужды этой фирме и серьезные вложения в кабельный провайдинг: "Голден Телеком" запустит $1,5 млрд в сети. Масштаб этой суммы лучше всего смотреть в сравнении.

Сколько Сорос потратил на "Связьинвест"? Еще в 1997 году он купил блокирующий пакет монополиста за 1,875 млрд. долларов, а потом избавлялся от него 7 лет, пока не продал со значительным дисконтом (за 625 млн. долларов) Леонарду Блаватнику.

На этом фоне инвестиционные планы, направленные на развертывание широкополосных сетей доступа в 65 городах России с общим населением 65 млн человек, с расчетом к 2010 году протянуть кабель к 15 млн. домохозяйств, выглядят чересчур смелыми.

Скорее всего, Сорос "вкладывал не туда". Телеком очень быстро меняется, это стоило состояний не одному инвестору. Надо отдать должное менеджменту ГТ, еще несколько лет назад они считали Ethernet сети "пионерством" (показателен пример отказа от покупки Екатеринбургского оператора КабInet).

Но после успехов Корбины (и ее конкурентов) в Москве "мир встал с ног на голову". И полтора "ярда" инвестиций запланированы на построение самого большого Ethernet-провайдера России.

Практический вывод.
Полагаю, что планы построения сети такого масштаба, да еще за 2 года (по сути), малореальны без массовой скупки Ethernet-провайдеров "первой волны". Последним повышать капитализацию может оказаться выгоднее, чем работать на прибыль.
Главное не переборщить. Тут к месту старая, но интересная ссылка Жизнь внутри пузыря - ее вполне можно применить к нынешней ситуации с сетестроительством.

 


Следующее "покушение" на региональный рынок связи идет со стороны Синтерры. Которая обещает построить более 6,5 тыс. км. волоконно-оптических линий в 50 субъектах федерации. Традиционно, новость подается под соусом проекта "образование", но понятно, что распорядиться создаваемой сетью можно и в коммерческих целях.

Отчасти, ситуация нашла отражение в статье Интернет в школы: провал №2, Торжеству "Синтерры" мешают трафик, погода и законы арифметики.
Приведу цитату: На сегодня с учетом всех каналов, построенных самостоятельно и "полученных" "Ситеррой" в виде подарков от МРК, плюс стационарная сеть спутниковых устновок V-SAT, сеть "Синтерры" стремительно приближается по мощности к сети ТрансТелеКом, и через год-полтора догонит "Ростелеком". Поскольку над компанией не висит обременение в виде обязательств по платежам перед инвесторами (или оно значительно меньше, чем у других компаний), "Синтерра" может начать демпинговую игру на рынке.

Добавить особенно нечего. Разве что небольшую фотоиллюстрацию: такой рассыпухой в местной Электросвязи подключили школы.

 


Небольшое письмо, продолжение истории о долге:

 

... 29 мая было судебное заседание. Началось в 10 часов, потом с пол первого до трёх перерыв и ещё час. Учитывая температуру, зашкаливающую за 30 градусов, это казалось оооооочень долго.
ЦентТелеком'ом наконец-то были сделаны распечатки сессий (по IP) и моих платежей, которые я запрашивал ещё в январе. Причём раньше утверждалось, что таких отчётов они сделать просто техничеки не могут. Со своей стороны, я указывал на несоблюдение закона о связи, правил оказания связи и договора в части неполного предоставления информации. В результате чего, собственно, и возникла задолжность.
Итог слушания: В иске ЦентрТелекома об уплате долга отказать и в моём встречном (о компенсации потерь) тоже.
Прислал Max Avramenko

Ссылки в один абзац:


Архитектура широкополоски ближайшего будущего IETF WT-101. Конечно, с точки зрения классического телекома.

Avaya для бедных. Почти ужастик.

В Екатеринбурге осужден 77-летний "пират". Дали полгода условно, "пожалели" старика.
Подумал. Снес с компьютера все нелицензионное (XP - OEM, MS Office давно был заменен на Open Office), Photoshop обменял GIMP + Picasa, Visio на Dia... Софт-то работает, вполне сносно. Но жить в стране с такими правоприменительными нормами все равно страшно.

Владельца крупнейшей кабельной сети лишили московских привилегий. По крайней мере на бумаге...

Барнаульский альтернативный оператор связи урегулировал конфликт с "Сибирьтелекомом"

В ожидании насыщения - довольно большой обзор рынка широкополосного доступа, опубликованный Натальей Чумаровой на свежеоткрывшемся ресурсе.
Особо понравилось начало: Напомним, что широкополосный доступ в Интернет - это передача данных по достаточно быстрому каналу, позволяющему, например, транслировать аудио и видео в реальном времени. Для этого требуется полоса пропускания не менее 128 кбит/с...

 


Смешная миниатюра:

 

... Утром плохо звоню в техподдержку провайдера...
ОН - Какой у вас адрес?
Я - 172.16.60.ххх
ОН - Нет, физический
Я - одну минуту ... 00-Е0...
ОН - ГДЕ ВЫ ЖИВЁТЕ??!!...

 


Атака на коммутатор Ethernet.

 

Реакция коммутатора вполне ожидаема: таблица коммутации мгновенно заполняется MAC-адресами, занимая весь объем доступной памяти. К примеру, Switch 2950 Cisco может держать в памяти не более 8000 MAC-адресов. Команда show mac-address-table позволяет просматривать таблицу коммутации. На первом этапе она выглядит следующим образом:

После запуска ArpFlood, свободного места в таблице больше не остается:

У этого результата есть два важных следствия: потеря управления и переход коммутатора в режим хаба. Рассмотрим их немного подробнее.

С первых секунд атаки коммутатор плохо реагирует на попытки удаленного управления. Индикация происходит медленно, а время отклика на команды – неоправданно велико. Однако, это никак не отражается на основной функции коммутатора и его пропускная способность не страдает. Т.е. удар приходится только по системе управления, а не по основному функционалу устройства.

Далее, коммутатор не обладая достаточным объемом памяти, чтобы хранить всю корреспонденцию MAC-адресов, обязан перейти в режим хаба, что позволяет злоумышленнику просматривать видеопоток:

Таким образом, злоумышленник получает весь объем обмена трафиком между клиентом (XBOX) с адресом 192.168.101.3 и сервером 192.168.101.4. Следует отметить, что существует два варианта развития ситуации в зависимости от того, происходил ли обмен трафиком между клиентом и сервером до начала атаки.

В первом варианте, где атака начинается раньше "общения" между сервером и клиентом, коммутатор не успевает записать их MAC-адреса в таблицу коммутации и, под наплывом флуда, переходит в режим хаба раньше, чем клиент посылает запрос на сервер. Соответственно, все запросы клиента и ответы сервера появляются на всех портах и доступны злоумышленнику в полном объеме.

Во втором варианте, атака начинается после того, как MAC-адреса клиента и сервера записаны в таблицу коммутации, что означает невозможность прослушивания. Но, поскольку срок "жизни" записей в таблице коммутации ограничен, по истечению этого времени коммутатор теряет последние сведения о "правильной" коммутации, не может их получить из-за переполнения памяти, и далее развитие событий происходит по первому варианту.

Информация к размышлению: по умолчанию, время "жизни" записи в таблице коммутации для Switch 2950 Cisco составляет 5 минут.

Это время можно переопределить командой "mac-address-table aging-time", как это сделано в следующем примере, где описываемый параметр задан значением "10 секунд".

Еще одним следствием атаки станет возрастание трафика на всех портах коммутатора, перешедшего в режим хаба. Ведь то, что ранее транслировалось только между двумя портами, теперь оказывается доступным на каждом порту, что, разумеется, немедленно сказывается на конечных пользователях.

Кроме того, любой коммутатор обладает ограничением по суммарной полосе пропускания. Например, для Cisco Catalyst 2950T-24 этот показатель составляет 8,8 Гбит/с (т.е. суммарный поток трафика между всеми портами не может превышать 8,8 бит/с). Это значит, что при значительных объемах трафика, поступающего на все порты, общая полоса пропускания может превысить возможности коммутатора.

Атака локальной сети предприятия.

Обычная схема локальной сети предприятия предусматривает использование коммутаторов ядра, пограничных коммутаторов и коммутаторов распределения. Вот вариант атаки на такую сеть:

  • Через IPBX предприятия осуществляется голосовая телефонная связь.
  • Злоумышленник наводняет случайными MAC-адресами коммутатор С.
  • Коммутатор С ассоциирует записи в таблице коммутации с физическим портом, через который подключен злоумышленник.
  • Коммутатор D ассоциирует записи в таблице коммутации с физическим портом, через который подключен коммутатор С.
  • Коммутатор Е ассоциирует записи в таблице коммутации с физическим портом, через который подключен коммутатор D.

    Продолжительность процедуры зависит только от числа коммутаторов. Чуть раньше или чуть позже, злоумышленник все равно получает возможность прослушивать VoIP-трафик, находясь в любом месте на территории предприятия. Любой коммутатор имеет ограничения. Например, если коммутаторы С и Е будут представлены устройствами Cisco 2950 с предельным объемом таблицы коммутации в 8000 записей, а коммутатор D – Cisco 6509 с ограничением в 64000 записей, злоумышленник спокойно насытит память коммутаторов С и Е, а потом, не прекращая процесса, доведет до того же состояния и коммутатор D, поскольку флуд все равно будет продолжать распространяться, а коммутатор ядра просто "обязан" его записывать.

    Из чего можно сделать вывод о влиянии атаки на сеть всего предприятия в целом, даже если она построена стандартным трехуровневым способом с коммутатором Cisco Catalyst серии 6500 в ядре.

    Неэффективные способы защиты.

    Одним из возможных вариантов защиты заключается в уменьшении времени жизни записей в таблице коммутации. Особой пользы от этого, правда, нет: коммутатор все равно остается уязвимым во время атаки. Быстро освободившись от записей флуда, он точно так же снова их наберет при повторении атаки.

    Еще один вариант – приобретение более высокопроизводительных коммутаторов, имеющих больше памяти для размещения записей таблицы коммутации. Вот список коммутаторов Cisco с предельно допустимыми объемами записей таблиц коммутации:


    Cisco Catalyst 2924 XL - 2000
    Cisco Catalyst 2948 G-GE-TX - 16000
    Cisco Catalyst 2950 Series - 8000
    Cisco Catalyst 2955 Series - 8000
    Cisco Catalyst 2960 Series - 8000
    Cisco Catalyst 2970 Series - 8000

    Cisco Catalyst 3550-12G - 12000
    Cisco Catalyst 3550-12T - 12000
    Cisco Catalyst 3550-24 - 8000
    Cisco Catalyst 3550-24-DC - 8000
    Cisco Catalyst 3550-24 PWR - 8000
    Cisco Catalyst 3550-24-FX - 8000
    Cisco Catalyst 3550-48 - 8000
    Cisco Catalyst 3560 Series - 12000
    Cisco Catalyst 3750G-24TS - 12000
    Cisco Catalyst 3750G-24WS - 12000
    Cisco Catalyst 3750G-24T - 12000
    Cisco Catalyst 3750G-12S - 12000
    Cisco Catalyst 3750-24TS - 12000
    Cisco Catalyst 3750-24FS - 12000
    Cisco Catalyst 3750-24PS - 12000
    Cisco Catalyst 3750-48TS - 12000
    Cisco Catalyst 3750-48PS - 12000
    Cisco Catalyst 3750G-24TS-1U - 12000
    Cisco Catalyst 3750G-24PS - 12000
    Cisco Catalyst 3750G-48TS - 12000
    Cisco Catalyst 3750G-48PS - 12000
    Cisco Catalyst 3750G-16TD - 12000

    Фотозарисовки.

    Узел связи...

     

    Заземление:

    заземление

     

    Прислал Олег Медведев

     


    Центральный офис торговой фирмы, разгар рабочего дня ...

    разгар рабочего дня

    Прислал Дмитрий

     


    Конструкция для небольшой домашней сети. Стойка строилась из металлопрофиля, и получилась вполне приличная и дешевая конструкция.

    На фотографиях в ней уже размещено некоторое оборудование. В данный момент производится настройка сервера, после чего все будет перенесено для непосредственной работы в сети.

    Прислал Матвеев Дмитрий, г.Саранск

     


    Ставлю на ноги небольшую сетку. Пока начинающий. Сеть ещё очень маленькая, даже 20 клиентов пока нет, но скоро будет. В одиночку, без помощников.

    Так вот просто висит, прибитый гвоздём свич

    Очень интересно наблюдать, как бегаю с одного этажа на другой, чтобы витую пару протащить через канал в эл. щитке подъезда. Сбегаю на верхний этаж, подтяну 2-3 м., подвешу на створку щитка, потом вниз, там вытяну.

    Друзей пробовал звать, один раз пару порвали (не всю конечно, а два проводка за край щитка). Во второй раз поставили на кабель табурет и встали на него, что бы просверлить отверстие над дверью. С тех пор один делаю, медленнее, но надежнее.

    Работаю по технологии MMDS. Прилагаю несколько фотографий с чердака дома, над которым сейчас работаю. Конечно всё в ужасном беспорядке, но скоро найду время (и средства) и всё оборудование помещу в ящик. А пока на гвоздях и проволоке. :-)

    Прислал Shagolnet

    Анонс

     

    • Технологическая классификация сетей, продолжение материала от 2005 года.
    • Мечта о звездах как фактор развития цивилизации;
    • Пошаговое руководство по разводке муфты;
    • Традиционный пункт - ссылки на интересные факты. Присылайте письма - они очень нужны для обзоров. Обязательно сообщайте, нужна ли Ваша подпись, ссылка, или лучше обойтись без нее;
    • По "ужастикам" - наверняка что-то будет. Без страшилок сетям никак нельзя.
  • От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
    Ссылка на материал, для размещения на сторонних ресурсах
    /articles/reviews/15475/ataka-na-kommutator.html

    Обсудить на форуме

    Оставлять комментарии могут только зарегистрированные пользователи

    Зарегистрироваться