bezpecnost nesifrovane komunikace na siti

Stanislav Meduna stano-cznews na meduna.org
Pondělí Leden 6 14:05:11 CET 2003


On Mon, 6 Jan 2003 11:34:48 +0000 (UTC), David Rohleder wrote:

: To neni tak uplne pravda, protoze mac address table se kontroluje (a meni) pri
: kazdem prichodu datagramu do switche. Takze ten utocnik by musel
: generovat pomerne netrivialni mnozstvi paketu, ktere by ukazovaly na
: nej (tj. mely by zdrojovou MAC adresu shodnou s jednim z
: odposlouchanych stroju).

To ovsem nie je vobec ziadny problem...

A do firmware toho switcha clovek obvykle nevidi - mozno ho staci
zahltit spustou vymyslenych MAC adries, mozno sa staci tvarit
ako MAC stroja, ktoreho pakety chcete ziskat, mozno si aktualizuje
tabulky po kazdom pakete, mozno raz za cas, mozno duplicitu
zisti a bude kricat, mozno aj nie...

: jo a na ARP switche stejne kaslou.

Switche ano, ale ten stroj, ktoreho pakety chcem ziskat, nemusi.
Ak na jeho ARP otazku odpoviem rychlejsie ako skutocny vlastnik
cielovej IP adresy, mozem ho prinutit poslat ten paket mne.

Suma sumarum, dostat sa ku kompletnej komunikacii bez toho,
aby to obet zbadala by bol problem. Dostat sa k jednotlivym
paketom ale problem pravdepodobne nebude.

Zdravi
-- 
                               Stano



Další informace o konferenci Linux