PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wireshark: Promiscuous Mode und Switch


mekakic
2011-08-01, 14:01:22
Ein Switch schaltet doch Pakete hinsichtlich ihrer MAC Adresse nur an die Ports auf denen auch wirklich ein derartiges NIC Endgerät vorhanden ist? Wieso empfange ich denn im Wireshark Promiscuous Mode alles was auf dem Switch los ist und meinen Rechner eigentlich nichts angeht?

Liegt das irgendwie an dem Modus des NIC, in den Wireshark die Karte im Promiscuous Mode versetzt? Bekommt der vom Switch dann einfach alles, weil das Switch "weiß", dass der alles haben will?

Oder ist das ein "schlechtes Switch" was einfach alles an alle Ports weiterleitet bzw woran erkenne ich ein Switch mit solch einer Eigenschaft, wo man doch Hubs praktisch nicht mehr im Laden findet?!

Lexor
2011-08-01, 14:09:43
Im Promiscuous Mode werden nun mal alle im Netzwerk verfügbaren Datenpakete empfangen.
Deshalb ist er ja auch nur für Testzwecke geeignet.

mekakic
2011-08-01, 14:23:54
Aber wieso empfängt der denn alle Pakete, wenn das Switch die Pakete gar nicht an den Port weiterleiten sollte? Hat der Promiscuous Mode auch Einfluss auf das Switch oder ist das Switch einfach kaputt/billig/macht nicht was es eigentlich soll/ist nur ein Hub.

Lexor
2011-08-01, 15:54:31
Was ist es denn für ein Switch und wie ist er konfiguriert?

schleiftier
2011-08-01, 16:11:41
Kann es sein, dass in Wireshark ARP-Poisoning aktiviert ist?

Tech_FREAK_2000|GS
2011-08-01, 19:51:00
Kann es sein, das du neben den Paketen für deinen PC derzeit noch Broadcast Pakete siehst?

da.phreak
2011-08-01, 22:26:44
Sicher, daß das nen Switch und kein Hub is?

Oid
2011-08-01, 22:27:35
Mit ARP-basierten Angriffen kann man einen Switch dazu bringen sich wie ein Hub zu verhalten. Kann mir nun aber nicht vorstellen, dass das ein Feature von Wireshark ist.

da.phreak
2011-08-01, 22:35:08
Nicht, daß ich wüßte. Und wenn's nicht irgendwie explizit anders eingestellt wurde, zeichnet Wireshark nur den Datenverkehr auf.


Mit ARP-basierten Angriffen kann man einen Switch dazu bringen sich wie ein Hub zu verhalten. Kann mir nun aber nicht vorstellen, dass das ein Feature von Wireshark ist.

Gast
2011-08-02, 10:27:15
Hallo,

im "Promiscuous-Mode" nimmt die NIC (bzw. der Treiber/das OS) alle Datenpakete an, welche empfangen werden. Dies beinhaltet somit auch Pakete die nicht für diese NIC bestimmt sind.

Ein "normaler" Switch leitet aber nur unbekannte oder zum Port gehörende MAC-Adressen an die NIC weiter. Daher siehst du so nicht den gesamten Traffic.

Gute Switch (z.B. Cisco, HP usw...) können einen Port (oder ein VLAN) spiegeln und so alle Datenpakete auf einem anderen Port ausgeben. Wenn da ein PC dranhängt, kann dieser alle Daten aufzeichen (im Promiscuous-Mode).

Allerdings gibt es die Einschränkung, ein 48 Port Gigabit-Switch kann (max.) 96 GBit/s Daten transportieren. Diese Datenmenge ist natürlich nicht an einem GBit-Port ausgebbar.

FeuerHoden
2011-08-02, 13:53:52
Ich tippe mal auf 100% belanglosen Broadcast Traffic.

mekakic
2011-08-03, 13:04:18
Nee. kein Broadcast. Hab zwar ein bißchen Multicast Traffic der auf dem Switch gebroadcastet wird, das meiste ist aber Unicast.

Hmm... aber unbekannter Traffic wird auch an jeden Port weitergeleitet? Also wenn die NIC dem Switch ihre MAC nicht mitteilt wird jeder Traffic auf dem Switch an jeden Port weitergeleitet? Und dies geschieht über ARP? Also macht die NIC kein ARP landet der ganze Traffic für die Karte bei allen?

nobex
2011-08-03, 13:42:00
Wenn die NIC sich nicht per ARP zu erkennen gibt, so gibt es m.E. auch keinen Unicast-Verkehr für die Karte (außer man pflegt manuell die ARP-Caches der anderen Teilnehmer).

Birdman
2011-08-03, 15:21:57
Hmm... aber unbekannter Traffic wird auch an jeden Port weitergeleitet? Also wenn die NIC dem Switch ihre MAC nicht mitteilt wird jeder Traffic auf dem Switch an jeden Port weitergeleitet? Und dies geschieht über ARP? Also macht die NIC kein ARP landet der ganze Traffic für die Karte bei allen?
Wenn der Switch eine ihm noch nicht bekannte MAC-ZielAdresse in einem Datenpaket sieht, dann schickt er das Paket einfach an allen Ports raus. (ausser da wo es reinkam)
Wenn Du also an deinem Switch irgendwo ein Device hast das eine Unicast Anfrage an ein anderes Device schickt kann es schon mal sein dass Du dieses auch bei dir im Wireshark siehst.
Viel wird das aber nicht sein, denn nach dem ersten (retour)Paket kennt der Switch den Zielport und bei dir kommt nix mehr an.

Gast
2011-08-04, 07:25:42
Wenn die NIC sich nicht per ARP zu erkennen gibt, so gibt es m.E. auch keinen Unicast-Verkehr für die Karte (außer man pflegt manuell die ARP-Caches der anderen Teilnehmer).

Der Switch lernt die MAC-Adresse des absenders. Ein spezielles ARP Paket ist nicht notwendig bzw. gibt es diese nicht.

Da nur IPv4 ARP nutzt, könnte sonst auch kein anderes Protocol (z.B. IPv6) von einem Switch "geswitcht" werden.

mekakic
2011-08-04, 09:29:04
Und was macht das Switch wenn immer unterschiedliche Mac Adressen von einem Interface kommen? Also wo ein libpcap Capture File mittels tcpreplay wiedergegeben wurde, daß unterschiedlichen Traffic enthält?

nobex
2011-08-04, 17:17:12
Der Switch lernt die MAC-Adresse des absenders. Ein spezielles ARP Paket ist nicht notwendig bzw. gibt es diese nicht.
Ich bezog mich in meiner Aussage, egal ob geswitcht oder nicht, auf dies:
Also macht die NIC kein ARP landet der ganze Traffic für die Karte bei allen?

Hätte es besser zitieren sollen ...

Gast
2011-08-05, 23:21:19
Und was macht das Switch wenn immer unterschiedliche Mac Adressen von einem Interface kommen? Also wo ein libpcap Capture File mittels tcpreplay wiedergegeben wurde, daß unterschiedlichen Traffic enthält?

Ein Switch kann mehrere MACs je Port kernen.

Router#sh mac-address-table
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- --------------------
0019.d2xx.xxxx Dynamic 1 FastEthernet2
001c.0exx.xxxx Self 1 Vlan1
001d.70xx.xxxx Dynamic 1 FastEthernet2
f46d.04xx.xxxx Dynamic 1 FastEthernet3

Router#

Am Port FastEthernet2 hängt ein AP mit nem Clienten dahinter. Daher Zwei MACs an diesem Port.