[freese]

VladDV, не факт что при переполнении таблицы свитч становится хабом, банально могут стираться более старые записи и записываться новые

[VladDV]

Возможно. Но ведь перед тем, как новая запись снова добавится, один пакет должен же уйти на все порты верно? А в снифер не попадает ни одного пакета.

[freese]

Цитата VladDV:

один пакет должен же уйти на все порты верно? »

с чего вдруг? при отсутствии записи никуда не пойдет/встанет в очередь/умрет, т.е. свитч будет "тупить"

[VladDV]

Есть конечно мысль, что в таблицу перестают добавляться новые записи, но старые-то записи остаются. И свитч использует их, когда они есть, и шлет на все порты в случае отсутствия записи. Завтра на работе проверю эту гипотезу. Отключу кабель из одной линуксовой машины, перезагружу свич, чтобы очистить таблицу, потом проведу атаку и подключу кабель обратно. Если гипотеза верна, то адрес не сможет добавиться и начнет слать пакеты на все порты.

Цитата freese:

с чего вдруг? при отсутствии записи никуда не пойдет/встанет в очередь/умрет, т.е. свитч будет "тупить" »

А с того, что после атаки пинги продолжают проходить как ни в чем не бывало. Если бы свич затупил, завис и т.п., пинг бы прервался.

[freese]

VladDV, что за свитч?

[VladDV]

Цитата freese:

что за свитч? »

Блин, если честно, то даже не посмотрел. Либо длинк, либо 3ком, либо что-то аналогичное. Из серии тех, которые килограммами меряют Завтра гляну, напишу точно.

[freese]

возможно просто излишек адресов откидывает, и старые записи остаются, будет проходить пинг и "пакеты до пункта назначения"

[VladDV]

Вообще такая стратегия выглядит самой разумной. Если свитч не затирает старые записи и сохраняет их до перезагрузки, тогда он практически гарантированно защитит от атаки этого вида. Вероятность, что через один порт свича в нормальной сети пройдет за время его работы более 8000 новых мак-адресов стремится к нулю. Поэтому все, что переполнит таблицу, можно смело считать вредоносным трафиком и не работать с ним.

[VladDV]

Switch DLINK DES1008A, 8 портов.

Эксперимент провел. Действительно, таблица заполняется и все новые записи отбрасываются. Я смог перехватить пакеты вновь подключенного после заполнения таблицы компьютера. При этом от компьютеров, которые были подключены до проведения атаки, пакетов на снифер не поступает.

Вот интересно, есть ли какое-то правило, какие свичи как себя ведут в этой ситуации? Например, циско, судя по статьям в интернете, после заполнения таблицы начинает работать как хаб и рассылает ВСЕ пакеты ВСЕХ узлов сети. Получается, что дешевый длинк в этом вопросе оказался надежней