Une etrangeté (?) sur un switch 3com :
si je configure ma machine (on va dire box5) avec l'adresse mac de la
gateway (on va dire box1), soit ifconfig eth0 hw ether @mac_de_box1,
je vois tout le traffic du réseau (on va dire box2 a box10) des machines
connectées au switch.
Je ne peux emettre car le switch est configuré pour bloquer le traffic
du port où il y a changement d'adresse mac.
Il semble donc que le switch accpete 2 @mac identiques et recopie les
paquets sur chaque port ... comme dans un cas de saturation de table
pour certains switchs.
Est-ce normal docteur ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Dans sa prose, r0nY nous ecrivait :
Une etrangeté (?) sur un switch 3com : si je configure ma machine (on va dire box5) avec l'adresse mac de la gateway (on va dire box1), soit ifconfig eth0 hw ether @mac_de_box1, je vois tout le traffic du réseau (on va dire box2 a box10) des machines connectées au switch.
Tu veux dire que tu vois tout le trafic émis par ces stations à destination de box1, non ?
Je ne peux emettre car le switch est configuré pour bloquer le traffic du port où il y a changement d'adresse mac. Il semble donc que le switch accpete 2 @mac identiques et recopie les paquets sur chaque port ... comme dans un cas de saturation de table pour certains switchs. Est-ce normal docteur ?
Il n'y a aucune contre-indication pour qu'un switch accepte d'avoir la même adresse MAC sur deux ports différents. C'est la manière dont il le fait qui peut être gênante. Dans ton cas en particulier, ce qui est gênant, c'est que le port ne bloque que le trafic qu'il reçoit. Normalement, tu dois faire un _shut_ sur le port, pur et simple.
PS : ok, à arpwatch on ne lui fait pas ...
Sauf que sur un réseau switché (hors port monitor), arpwatch ne verra que les requêtes ARP, puisqu'émises en broadcast. Si ta machine box5 avec son adresse MAC usurpée ne peut rien émettre, arpwatch ne verra rien.
-- Les ordres sont les suivants : on courtise, on seduit, on enlève et en cas d'urgence...on epouse ! -+- Les Barbouzes
Dans sa prose, r0nY nous ecrivait :
Une etrangeté (?) sur un switch 3com : si je configure ma machine (on
va dire box5) avec l'adresse mac de la gateway (on va dire box1), soit
ifconfig eth0 hw ether @mac_de_box1, je vois tout le traffic du réseau
(on va dire box2 a box10) des machines connectées au switch.
Tu veux dire que tu vois tout le trafic émis par ces stations à
destination de box1, non ?
Je ne peux emettre car le switch est configuré pour bloquer le traffic
du port où il y a changement d'adresse mac. Il semble donc que le
switch accpete 2 @mac identiques et recopie les paquets sur chaque port
... comme dans un cas de saturation de table pour certains switchs.
Est-ce normal docteur ?
Il n'y a aucune contre-indication pour qu'un switch accepte d'avoir la
même adresse MAC sur deux ports différents. C'est la manière dont il le
fait qui peut être gênante. Dans ton cas en particulier, ce qui est
gênant, c'est que le port ne bloque que le trafic qu'il reçoit.
Normalement, tu dois faire un _shut_ sur le port, pur et simple.
PS : ok, à arpwatch on ne lui fait pas ...
Sauf que sur un réseau switché (hors port monitor), arpwatch ne verra
que les requêtes ARP, puisqu'émises en broadcast. Si ta machine box5
avec son adresse MAC usurpée ne peut rien émettre, arpwatch ne verra
rien.
--
Les ordres sont les suivants : on courtise, on seduit, on enlève et en
cas d'urgence...on epouse !
-+- Les Barbouzes
Une etrangeté (?) sur un switch 3com : si je configure ma machine (on va dire box5) avec l'adresse mac de la gateway (on va dire box1), soit ifconfig eth0 hw ether @mac_de_box1, je vois tout le traffic du réseau (on va dire box2 a box10) des machines connectées au switch.
Tu veux dire que tu vois tout le trafic émis par ces stations à destination de box1, non ?
Je ne peux emettre car le switch est configuré pour bloquer le traffic du port où il y a changement d'adresse mac. Il semble donc que le switch accpete 2 @mac identiques et recopie les paquets sur chaque port ... comme dans un cas de saturation de table pour certains switchs. Est-ce normal docteur ?
Il n'y a aucune contre-indication pour qu'un switch accepte d'avoir la même adresse MAC sur deux ports différents. C'est la manière dont il le fait qui peut être gênante. Dans ton cas en particulier, ce qui est gênant, c'est que le port ne bloque que le trafic qu'il reçoit. Normalement, tu dois faire un _shut_ sur le port, pur et simple.
PS : ok, à arpwatch on ne lui fait pas ...
Sauf que sur un réseau switché (hors port monitor), arpwatch ne verra que les requêtes ARP, puisqu'émises en broadcast. Si ta machine box5 avec son adresse MAC usurpée ne peut rien émettre, arpwatch ne verra rien.
-- Les ordres sont les suivants : on courtise, on seduit, on enlève et en cas d'urgence...on epouse ! -+- Les Barbouzes
