16 Марта, 2010

DoS-атака на сегмент Ethernet

Агиевич Игорь aka Shanker
Недавно в одном офисе обрушилась сеть. В процессе анализа оказалось, что оборудование, которое вышло из строя, затопило сеть кадрами Pause Frame . Эти кадры служат сообщением всем компьютерам сети о том, что требуется прекратить приём и передачу (эдакий аналог jam-сигнала в Ethernet). Недолго думая, я изучил структуру кадра, создал копию программой PackETH и послал в сегмент.



В результате все станции, подключённые к тому же коммутатору, что и я, прекратили передачу и приём пакетов. До следующего коммутатора мои пакеты не дошли. Вероятнее всего, коммутатор определил наличие следующего коммутатора на одном из его портов и не посылал туда копии пакетов.

Таким образом, можно провести атаку на сегмент сети. В случае определения атаки подобным образом для восстановления сети достаточно выключить поддержку 802.3d (Flow Control, управление потоком). В Windows XP это делается в настройках сетевой карты
или введите имя

CAPTCHA
18 Марта, 2010
RE: DoS-атака на сегмент Ethernet
Очень даже интересно. Значит достаточно подделать описанный выше широковещательный пакет от коммутатора и сегмент сети рухнет и станции которые получили его не будут даже пытаться передавать в сеть до перезагрузки или до получение пакета который "разрешает" передачу?
0 |
RE[2]: DoS-атака на сегмент Ethernet
Не совсем так. Во-первых, это адрес не совсем широковещательный. Правильнее сказать групповой (мультикаст). Об этом говорят первые 6 байт пакета на скриншоте. Это означает, что такой пакет будет обработан только теми станциями, которые поддерживают Flow Control. Но по-умолчанию его поддерживает большинство современного сетевого оборудования: от компьютеров до коммутаторов и даже маршрутизаторов. Пакеты необходимо посылать довольно часто для поддержания эффекта. В моём опыте потребовалось 10 пакет/сек. Поэтому перезагрузка не спасёт. Да и "разрешающего" тоже не требуется - достаточно просто прекратить посылать пакеты
0 |
19 Марта, 2010
RE[3]: DoS-атака на сегмент Ethernet
Спасибо понял =)
0 |
14 Апреля, 2010
RE: DoS-атака на сегмент Ethernet
Т.е. фактически на скрине - dos сплойт для ethernet сетей?))
0 |
RE[2]: DoS-атака на сегмент Ethernet
Вряд ли это можно назвать эксплоитом. А DoS, как я понимаю, возможен только небольшого локального сегмента. Соседей по коммутатору, грубо говоря
0 |
Руслан
12 Апреля, 2011
выложи полный пакет
0 |