У нас в сети несколько стандартных неуправляемых коммутаторов 3com. Я думал, что коммутаторы должны отправлять пакеты только между одноранговыми узлами соединения.
Однако, похоже, программное обеспечение для анализа сети, работающее на компьютере, подключенном к одному из коммутаторов, способно обнаруживать трафик (например, потоковое видео YouTube, веб-страницы) других хост-компьютеров, подключенных к другим коммутаторам в сети.
Возможно ли это вообще или сеть полностью нарушена?
Чтобы завершить ответ Дэвида, коммутатор узнает, кто находится за портом, просматривая MAC-адреса пакетов, полученных на этом порту. Когда коммутатор включен, он ничего не знает. Как только устройство A отправляет пакет с порта 1 на устройство B, коммутатор узнает, что устройство A находится за портом 1, и отправляет пакет на все порты. Как только устройство B отвечает на A с порта 2, коммутатор отправляет пакет только на порт 1.
Связь MAC-адреса и порта хранится в таблице коммутатора. Конечно, за одним портом может находиться множество устройств (например, если к порту подключен коммутатор), поэтому с одним портом может быть связано много MAC-адресов.
Этот алгоритм не работает, когда таблица недостаточно велика для хранения всех взаимосвязей (недостаточно памяти в коммутаторе). В этом случае коммутатор теряет информацию и начинает отправлять пакеты на все порты. Это легко сделать (теперь вы знаете, как взломать свою сеть), создавая множество пакетов с разными MAC-адресами с одного порта. Это также можно сделать, подделав пакет с MAC-адресом устройства, которое вы хотите шпионить, и коммутатор начнет отправлять вам трафик для этого устройства.
Управляемые коммутаторы можно настроить для приема одного MAC-адреса от порта (или фиксированного номера). Если на этом порте обнаружены другие MAC-адреса, коммутатор может выключить порт для защиты сети или отправить сообщение журнала администратору.
РЕДАКТИРОВАТЬ:
Что касается трафика youtube, описанный выше алгоритм работает только с одноадресным трафиком. Широковещательная передача Ethernet (например, ARP) и многоадресная IP-рассылка (иногда используется для потоковой передачи) обрабатываются по-разному. Я не знаю, использует ли youtube многоадресную рассылку, но это может быть случай, когда вы можете прослушивать трафик, не принадлежащий вам.
Что касается трафика веб-страницы, это странно, так как рукопожатие TCP должно было правильно установить MAC-адрес для таблицы портов. Либо сетевая топология каскадирует множество очень дешевых коммутаторов с небольшими таблицами, которые всегда заполнены, либо кто-то возится с сетью.
Это распространенное заблуждение. Если он не настроен статически, переключатель должен отправить каждый пакет каждый порт, который он не может доказать, не должен отправлять этот пакет.
Это может означать, что пакет отправляется только на порт, содержащий устройство назначения. Но так бывает не всегда. Например, рассмотрим самый первый пакет, который получает коммутатор. Как он мог узнать, на какой порт его отправить?
Подавление отправки пакетов на «неправильный» порт - это оптимизация, которую коммутатор использует, когда это возможно. Это не функция безопасности. Управляемые коммутаторы часто обеспечивают фактическую безопасность портов.
Возможно, действует отравление кэша ARP. Этот метод часто используется злонамеренно для прослушивания коммутируемой сети. Это делается путем убеждения каждой машины в сети, что у каждой другой машины есть ваш MAC-адрес (с использованием протокола ARP). Это заставит коммутатор пересылать все пакеты на ваш компьютер - вы захотите пересылать их после анализа. Это обычно используется в атаках «злоумышленник посередине» и доступно в различных инструментах сниффинга, таких как Cain & Abel или ettercap.