Ich habe ein Problem mit einem Switch (bzw. etwas, das ich nicht verstehe).
Wenn ich richtig informiert bin, dann leitet ein Switch an einen direkt angeschlossenen Computer nur die Pakete mit passender IP-addresse, und Broadcasts weiter. gell?
Nun habe ich einen Sniffer auf einem gespiegelten Port mitlaufen, und der zeigt, dass auf der Leitung alles Mögliche durch die Gegend fliegt, insbesondere Telegramme, bei denen weder Absender noch Empfänger mit der IP-Addresse übereinstimmen. Wie kommen die da hin?
Nun habe ich einen Sniffer auf einem gespiegelten Port
mitlaufen, und der zeigt, dass auf der Leitung alles Mögliche
durch die Gegend fliegt, insbesondere Telegramme, bei denen
weder Absender noch Empfänger mit der IP-Addresse
übereinstimmen. Wie kommen die da hin?
Zunächst einmal währe es hilfreich, wenn Du uns mitteilen könntest, um welchen Switch es sich denn handelt. Die Möglichkeit des Portspiegelns haben ja die ganz dummen SoHo-Geräte in der Regel nicht.
Im übrigen ist es gerade der Sinn eines mirror port auch die Daten auszugeben, die *nicht* an diesen Port gesendet wurden, zwecks Diagnose.
Wenn ich richtig informiert bin, dann leitet ein Switch an
einen direkt angeschlossenen Computer nur die Pakete mit
passender IP-addresse, und Broadcasts weiter. gell?
Wenn ein Switch den Zielrechner kennt stimmt das. Wenn der Switch aber ein Paket mit ihm unbekannter MAC (Switch => Entscheidung auf MAC-Basis, Router => entscheidung auf IP-Basis) bekommt … handelt er wie ein Hub.
Und Switchs vergessen nach 5 min wo eine MAC war.
Und billige Switchs können sich nicht sonderlich viele MACs merken.
Nun habe ich einen Sniffer auf einem gespiegelten Port
mitlaufen, und der zeigt, dass auf der Leitung alles Mögliche
durch die Gegend fliegt, insbesondere Telegramme, bei denen
weder Absender noch Empfänger mit der IP-Addresse
übereinstimmen. Wie kommen die da hin?
Einige Sniffer können billige Switchs mit gefälschten MACs zupumpen. Dann dreht der Switch durch und wird für eine Weile zum Hub.
Kann man etwas dagegen machen?
Ordentliche Hardware kaufen und die MAC/IP fix Ports zuordenen.
Wenn ich richtig informiert bin, dann leitet ein Switch an
einen direkt angeschlossenen Computer nur die Pakete mit
passender IP-addresse, und Broadcasts weiter. gell?
Wenn ein Switch den Zielrechner kennt stimmt das. Wenn der
Switch aber ein Paket mit ihm unbekannter MAC (Switch =>
Entscheidung auf MAC-Basis, Router => entscheidung auf
IP-Basis) bekommt … handelt er wie ein Hub.
Und Switchs vergessen nach 5 min wo eine MAC war.
Und billige Switchs können sich nicht sonderlich viele MACs
merken.
Es handelt sich um Cisco-Switche, angeblich recht teures Zeug. Ich bin nur ein dummer Anwender und habe keinerlei Konfigurationsberechtigung.
Nun habe ich einen Sniffer auf einem gespiegelten Port
mitlaufen, und der zeigt, dass auf der Leitung alles Mögliche
durch die Gegend fliegt, insbesondere Telegramme, bei denen
weder Absender noch Empfänger mit der IP-Addresse
übereinstimmen. Wie kommen die da hin?
Einige Sniffer können billige Switchs mit gefälschten MACs
zupumpen. Dann dreht der Switch durch und wird für eine Weile
zum Hub.
Der Sniffer ist CommView, und hängt ausschließlich am gespiegelten Port --> egal was der sendet, es dürfte eigentlich den Switch gar nicht beeindrucken.
Kann man etwas dagegen machen?
Ordentliche Hardware kaufen und die MAC/IP fix Ports
zuordenen.
Dankeschön!
Ich wusste nicht dass das möglich ist. Aber anscheinend weiss das der Administrator auch nicht ))
))