k1ngk0ng Jun 9 at 06:26

Физический уровень глазами атакующего: почему сеть начинается не с IP

Medium

16 min

7.7K

Information Security * Network technologies *

Review

From sandbox

+16

Comments 5

igrblkv Jun 10 at 13:21

Рабочий пассивный TAP, собранный из двух обычных розеток RJ-45

Точно рабочий? По ссылке другая картинка:

точно рабочий

Можно обычный хаб взять, но ему понадобится питание, зато он меньше двух розеток с картинки и гигабит умеет.

k1ngk0ng Jun 10 at 18:45

Да, это именно пассивный Fast Ethernet TAP из статьи. Автор подробно описывает схему разводки RX/TX-пар и использование конструкции для перехвата трафика через Wireshark. Так что устройство на фото не просто макет, а реализация пассивного TAP для сетей 10/100 Мбит/с.

Если говорить про гигабитный Ethernet, соглашусь - для 1000BASE-T такая схема уже не подходит, поскольку гигабит использует все четыре пары одновременно.

Что касается хаба - это уже активное устройство, которому требуется питание и которое участвует в передаче данных, как вы и сказали. Пассивный TAP интересен как раз тем, что не имеет собственного питания, MAC-адреса и вообще никак не проявляет себя на сетевом уровне.

Кроме того, технология хабов относится в основном к эпохе 10/100 Ethernet, а в гигабитных сетях давно используются коммутаторы.

igrblkv Jun 11 at 06:48

Что касается хаба - это уже активное устройство, которому требуется питание и которое участвует в передаче данных, как вы и сказали. Пассивный TAP интересен как раз тем, что не имеет собственного питания, MAC-адреса и вообще никак не проявляет себя на сетевом уровне.

У тупого пятипортового Д-Линка DGS-1005* есть MAC? И как его узнать?

Или у Tenda SM105, который 2,5G вообще?

k1ngk0ng Jun 12 at 19:32

Вы правы, я действительно сформулировал этот тезис не совсем правильно, спасибо, что поправили.

Если отвечать на ваш вопрос, то нет, сетевыми методами MAC-адреса DGS-1005 или Tenda SM105 вы не узнаете. В процессе коммутации пользовательского трафика они его не используют, и для обычных сетевых сканеров они так же прозрачны, как и пассивный TAP. В этом вы правы на 100%.

Говоря о том, что устройство не проявляет себя, мне всё же стоило сделать акцент не на MAC-адресах, а именно на физическом уровне. Хаб или неуправляемый свитч, даже будучи прозрачными логически, остаются активными узлами: они терминируют линки на себе и зависят от питания.

А пассивный TAP для 10/100 Мбит/с из статьи это просто физическая разводка пар (RX/TX). Он не терминирует соединение на себе, не участвует в автосогласовании и не обрывает основной линк из-за отсутствия электричества.

Rusadmin72 Jun 16 at 18:00

Я тоже об этом подумал и купил себе тплинк гигабитный коммутатор TL-SG105E самый дешёвый управляемый с функцией зеркалирования

Для работы надо, иногда приходится доказывать, что пакет ушел и ответ пришёл или самому трафик понюхать как политики его раскарашивают и т.п.