Door SirDice: Door Anoniem (dat was ik): PS je kunt in Wireshark ervoor kiezen om jouw netwerkkaart in "promiscuous mode" te zetten. Alleen dan zie je ook unicast verkeer dat niet voor jouw eigen PC bestemd is.
Niet als je op een switch zit aangesloten.
Ik heb op verschillende netwerken, zowel met Cisco als HP switches, tot
procenten aan gelekte unicast pakketten voorbij zien komen (compleet met vertrouwelijke data waaronder fragmenten van documenten in smb verkeer maar ook pop3 en ftp wachtwoorden). Dat is te voorkomen door bijv. Cisco's "port security" aan te zetten, maar by default staat dat uit, en als je het aanzet leidt dat vaak tot administratieve rompslomp.
Ik heb ooit (zo'n 11 jaar geleden) een op een packet-drivers gebaseerd (DOS) programma geschreven (dat op een afgedankte Pentium-I PC konden draaien). Dat programma registreerde, volledig passief, alle gelekte unicast pakketjes - die je niet zou moeten ontvangen. Dit om dit probleem inzichtelijk te maken...
Reken je niet rijk, elke keer als de infrastructuur meent een topology change te detecteren zie je dat switches hun CAM tabel flushen en weer landzaamaan gaan leren (dat doet de
CPU en het leerproces heeft geen hoge prio; pas zodra een afzenderadres geleerd is vindt switching meestal plaats in ASICs, hardware dus). Zonder Port Security zullen unicast pakketjes bestemd voor een NIC waarvan het MAC-adres nog niet geleerd is op alle switchpoorten worden uitgestuurd.
En dan heb ik het nog niet over actieve aanvallen (ettercap, dsniff, cain & abel) of een defecte NIC die random afzendadressen (in een ander VLAN notabene) stond te spugen waardoor CAM tabellen, voor
alle VLAN's, overliepen. Een switch is geen security device!
Met de volgende filterstring zie je alle unicast pakketjes in Wireshark:
!(eth.addr[0:1] & 1)
Idem, maar als je de laatste 6 bytes vervangt door het MAC-adres van je PC, worden pakketjes van/naar jouw PC onderdrukt in de weergave:
!(eth.addr[0:1] & 1) && !(eth.addr == 00:11:22:33:44:55)
Mijn ervaring: hoe duurder de switches (en hoe groter de infrastructuur - meestal gaat dat samen) en hoe minder beduget er is voor een veilig netwerk en bijbehorend beheer, hoe meer unicast verkeer je ziet...