Vendo tráfego destinado a servidores de outras pessoas em wireshark

Question

Vendo tráfego destinado a servidores de outras pessoas em wireshark

#1 resposta do (2 votos)
#2 resposta do (2 votos)

1

Eu alugo um servidor dedicado de um provedor de hospedagem. Eu corri wireshark no meu servidor para que eu pudesse ver o tráfego HTTP que estava destinado ao meu servidor.

Depois de executar o wireshark e filtrar por HTTP, notei uma carga de tráfego, mas a maioria não era para coisas hospedadas no meu servidor e tinham um endereço IP de destino que não era meu, havia vários endereços IP de origem. Minha reação imediata foi pensar que alguém estava tunelando seu tráfego HTTP através do meu servidor de alguma forma.

No entanto, quando olhei de perto, notei que todo esse tráfego estava indo para hosts na mesma sub-rede e todos esses endereços IP pertenciam ao mesmo provedor de hospedagem que eu estava usando.

Portanto, parece que a wireshark estava interceptando o tráfego destinado a outros clientes cujos servidores estão conectados à mesma parte da rede que a minha.

Agora eu sempre assumi que em uma rede baseada em switch isso não deveria acontecer, pois o switch só envia dados para o host necessário e não para cada caixa anexada.

Suponho que, neste caso, outros clientes também poderão ver os dados no meu servidor. Além de possíveis preocupações com a privacidade, isso certamente tornaria a ARP mais fácil e permitiria que outras pessoas roubassem endereços IP (e, portanto, domínios e sites)?

Parece estranho que um provedor de rede configure a rede dessa maneira. Existe uma explicação mais racional aqui?

wireshark switch

por user350325 19.10.2012 / 19:11

2 respostas

Tags wireshark switch

Usuários de bloqueio no Windows Server 2012 Adicionando usuários SSH com segurança ao pfSense

score 2 · Answer 1

É claro que o que você descreveu é uma prática muito ruim para um ambiente compartilhado e eu o levaria com seu provedor de hospedagem.

A explicação mais razoável seria um balanceador de carga, possível um firewall de alta disponibilidade no modo de compartilhamento de carga dentro do mesmo segmento de rede usando um endereço MAC multicast com um endereço IP unicast para roteamento. Usando um multicast MAC mais de um firewall pode ver o tráfego e eles implementariam seu próprio algoritmo de balanceamento de carga para que os membros de cluster online respondam apenas a uma parte do tráfego. O endereço IP unicast é anexado a um IP virtual para fins de roteamento. Como o IP resolve para um MAC multicast, qualquer tráfego enviado para ele obtém multicast no segmento local e é captado por um dos nós do cluster.

Eu já vi essa configuração antes, mas sem conhecer a rede, é apenas um palpite, mas o mais provável é que seja um provedor de hospedagem.

Um exemplo é o link do NLB, mas conheço firewalls Check Point em algumas configurações, bem como uma mão cheia de outros produtos que fazem o mesmo.

Reiterando, é uma configuração insegura para um modelo de hospedagem compartilhada.

score 2 · Answer 2

Os switches funcionam assim:

Por padrão, eles operam como um hub; todo o tráfego sai de todas as interfaces. Mas quando o tráfego chegar de entrada com uma determinada MAC de origem, o tráfego destinado a esse MAC só sairá dessa interface. Se um determinado MAC é visto em várias interfaces, ele sairá em ambos; possivelmente, eventualmente, redefinir e só sair daquele onde o tráfego foi visto mais recentemente.

Esse é o comportamento padrão . Não é o único comportamento para hardware mais barato, mas switches gerenciados podem ser configurados para o conteúdo do seu coração. Então tudo é possível. Note que em nenhum momento eu mencionei endereços IP; switches tradicionalmente funcionam na camada 2, não 3. Switches gerenciados caros podem desfocar a linha com roteadores, mas tradicionalmente eles só se preocupam com endereços MAC. No entanto, uma configuração deficiente pode substituir o comportamento típico de comutação e acabar com qualquer tipo de isolamento de host.

Há outra coisa que vale a pena mencionar: uma ponte. Como isso é relevante? É importante que seu hardware seja virtualizado, como está se tornando cada vez mais comum mesmo com provedores de hospedagem "dedicados" ( definitivamente em cotações ). Especificamente, as VMs estão conectadas à rede cooptando o adaptador de rede ou conectando-se a uma rede virtual dentro da caixa, normalmente configurada como uma ponte. Em ambos os casos, todas as VMs estão no mesmo segmento de comutador, o que significa packet-capture-palooza.

Finalmente, eles podem estar usando um hub. Sim, provavelmente não. Mas apenas dizendo.