6
Sniffing Pakete mehrerer Hosts empfangbar, trotz switched network ?
Hallo all,
ich dachte eigentlich immer, dass in einem gesnifften switched network nur die Pakete zu sehen sind, die von oder zum eigenen Host gerichtet sind. Also wenn ich mit meinem Host an dem Switch-Port 13 hänge und einen Sniffer laufen lasse, dann sollte ich doch normalerweise nur Pakete sehen, die an mich gerichtet sind, oder von meinem Host aus nach draußen gesendet werden.
Das tut es aber nicht, denn ich erhalte auch eine Menge andrer Pakete von andren Hosts. Zwar nicht von allen, aber doch einige. Da sind viele Pakete dabei, die nicht an mich gerichtet sind, und auch nicht von meinem Host stammen.
Was ist die Ursache hierfür, wie kann das sein? Hoffe jemand kann mir das erklären, damit ich es auch verstehe
Danke schonmal vorab.
ich dachte eigentlich immer, dass in einem gesnifften switched network nur die Pakete zu sehen sind, die von oder zum eigenen Host gerichtet sind. Also wenn ich mit meinem Host an dem Switch-Port 13 hänge und einen Sniffer laufen lasse, dann sollte ich doch normalerweise nur Pakete sehen, die an mich gerichtet sind, oder von meinem Host aus nach draußen gesendet werden.
Das tut es aber nicht, denn ich erhalte auch eine Menge andrer Pakete von andren Hosts. Zwar nicht von allen, aber doch einige. Da sind viele Pakete dabei, die nicht an mich gerichtet sind, und auch nicht von meinem Host stammen.
Was ist die Ursache hierfür, wie kann das sein? Hoffe jemand kann mir das erklären, damit ich es auch verstehe
Danke schonmal vorab.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 192638
Url: https://administrator.de/forum/sniffing-pakete-mehrerer-hosts-empfangbar-trotz-switched-network-192638.html
Ausgedruckt am: 07.04.2025 um 17:04 Uhr
6 Kommentare
Neuester Kommentar
Ein Switch flutet Traffic, der an folgende Ziel-Adressen gerichtet ist:
- Broadcasts (Rundruf an alle)
- evtl. Multicasts (Rundruf an eine Gruppe)
- Ziele deren MAC-Adresse (noch) nicht (oder nicht mehr) in seiner CAM-Table stehen (weil z.B. ausgetimet)
Gruß
sk
- Broadcasts (Rundruf an alle)
- evtl. Multicasts (Rundruf an eine Gruppe)
- Ziele deren MAC-Adresse (noch) nicht (oder nicht mehr) in seiner CAM-Table stehen (weil z.B. ausgetimet)
Gruß
sk
...und diese an alle Pakete "sieht" man dann logischerweise auch !
Wenn du nicht geraden einen Billigswitch vom Blödmarkt hast, dann lassen etwas bessere Switches dich einen sog. Mirror oder Monitor Port konfigurieren mit dem du dann auch allen anderen Traffic von am Switch angeschlossenen Geräten mitsniffern kannst !
Ansonsten musst du immer einen Sniffer Tap "bauen" wie z.B. hier beschrieben mit 2 NICs im Sniffer PC:
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
Wenn du nicht geraden einen Billigswitch vom Blödmarkt hast, dann lassen etwas bessere Switches dich einen sog. Mirror oder Monitor Port konfigurieren mit dem du dann auch allen anderen Traffic von am Switch angeschlossenen Geräten mitsniffern kannst !
Ansonsten musst du immer einen Sniffer Tap "bauen" wie z.B. hier beschrieben mit 2 NICs im Sniffer PC:
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
Die Broadcast Pakete sind eindeutig zu identifizieren und gehören mit zur Funktion des Netzwerks.
Pakete, die 'bekannte und lokale* Absender und Emfängeradressen haben, könnnen nur entstehen wenn:
- Einmalig, wenn ein neues Gerät ins Netzwerk kommt und der Switch die Adresse verteilen muss.
- Mehrfach, wenn eine falsche Serverkonfiguration mit 2 Schnittstellen gewählt wurde. Nämlich jedes Mal, wenn der physikalische Port fürs Load Balancing geeändert wird. Also proportional der Serverlast, aber immer noch recht wenig.
- Gehäuft, wenn ein Switch Schwierigkeiten mit seiner MAC-Tabelle hat.
- Gehäuft, wenn ein Angriff auf den Switch und seine MAC-Tabellen stattfindet.
- Vereinzelt, wenn ein interner Angriff mittels ARP-spoofing stattfindet.
Gruß
Netman
Pakete, die 'bekannte und lokale* Absender und Emfängeradressen haben, könnnen nur entstehen wenn:
- Einmalig, wenn ein neues Gerät ins Netzwerk kommt und der Switch die Adresse verteilen muss.
- Mehrfach, wenn eine falsche Serverkonfiguration mit 2 Schnittstellen gewählt wurde. Nämlich jedes Mal, wenn der physikalische Port fürs Load Balancing geeändert wird. Also proportional der Serverlast, aber immer noch recht wenig.
- Gehäuft, wenn ein Switch Schwierigkeiten mit seiner MAC-Tabelle hat.
- Gehäuft, wenn ein Angriff auf den Switch und seine MAC-Tabellen stattfindet.
- Vereinzelt, wenn ein interner Angriff mittels ARP-spoofing stattfindet.
Gruß
Netman
verstehe. Das ergibt Sinn und hat mir zum Verständnis beigetragen (Multi-/Broadcast, und zum erstmaligen Kennenlernen von neuen neuen MACs...)
Merci
Merci
Damit es hängen bleibt hier nochmal eine sinnvolle Lektüre was diese Adressen anbetrifft:
http://de.wikipedia.org/wiki/Multicast
und
http://de.wikipedia.org/wiki/Broadcast
Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
http://de.wikipedia.org/wiki/Multicast
und
http://de.wikipedia.org/wiki/Broadcast
Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
Vielen Dank aqui. Beitrag ist als gelöst markiert.
