> Lo switch popola l'arp table in base all'indirizzo mac sorgente dei > frame entranti; l'unico modo per far credere allo switch che tu abbia > un mac address diverso dal tuo è quello di far uscire dal tuo PC e > entrare nello switch pacchetti con un mac address sorgente diverso. > Port-security, che ha già registrato il tuo mac-address, vede un > secondo mac-address entrare nella stessa porta e la blocca.
Ok,arrivati a questo punto mi sembra necessario fare un attimo il punto della situazione riassumendo un po tutti i diretti interessati: Lo Switch: Apprende i mac address dall'indirizzo sorgente di livello 2. Il PortSecurity: Entra in violation quando sulla porta indicata con policy di restriction a max 1 vede arrivare frame con indirizzo mac sorgente diverso da quello specificato. L'ARP Poisoning: Non ha necessità di modificare il mac address sorgente del frame poichè l'informazione da modificare è l'ip. Ovvero, se si vuole effettuare un mitm tra A e B con indirizzi 1.1 e 1.2 e mac AA e BB l'attaccante X 1.5 XX deve inviare una ARP Reply con queste caratteristiche: Per poisonare la cache di A: Mac sorgente: XX IP sorgente: 1.2 (spoofato) Mac destinazione: AA IP destinazione: 1.1 e viceversa per poisonare B. Così facendo i prossimi pacchetti inviati da A verso B avranno come destinazione a livello3 1.2 ma a livello 2 XX e visto che lo switch forwarda in base alle informazioni di livello 2 il pacchetto arriva all'attaccante piuttosto che al destinatario. Ora mi dici il Portsecurity dove nota il cambio di mac address sorgente e quindi entra in violation, in questa situazione ? E quindi è dunque questa la dimostrazione del fatto che il PortSecurity NON incide minimamente con l'ARP Poisoning ?
_______________________________________________ http://cug.areanetworking.it [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
