Switch No IP Directed-Brodcast
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, kısa bir süre sonra " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle yenilenen sitemizde katılıma devam edebileceksiniz.

+ Konuyu Cevapla
Toplam 3 Sayfadan 1. Sayfa 123 SonuncuSonuncu
Toplam 23 sonuçtan 1 ile 10 arasındakiler gösteriliyor.
Switch No IP Directed-Brodcast

sistemimde bulunan iki adet switchte vlan1 no ip directed-brodcast aktif bu tam olarak ne iş yapar ? Ne Anlama Gelir ?

  1. #1
    wiseman isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Nov 2007
    Mesajlar
    42

    Standart Switch No IP Directed-Brodcast

    sistemimde bulunan iki adet switchte vlan1 no ip directed-brodcast aktif bu tam olarak ne iş yapar ? Ne Anlama Gelir ?

  2. #2
    Fiver isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Oct 2008
    Mesajlar
    249

    Standart

    Directed broadcast, destination ip'si bir subnet'in broadcast adresi olan ama source ip'si bu network'ten olmayan pakete denir.

    Paket route edilip hedef network'une ulastiginda, "explode" edilip yani patlatilip (!) tum host'lara gonderilir:
    Hedef IP: 255.255.255.255 ve Hedef MAC:FF-FF-FF-FF-FF
    Dolayisiyla o segmentteki tum cihazlara ulasmis olur.

    Bu aciklama o interface'te directed broadcast enabled oldugunda gecerlidir, yani disaridan gelen bir broadcast paketinin ic networkte patlatilmasi!
    IOS 12.x ve ustu versiyonlarda default olarak disabled gelir (no ip directed broadcast) ve mantiklidir, cunku bu olay eski birkac saldiri teknigi (ornegin Smurf) icin kullanilmanin disinda bir ise yaramaz..

    Default bir komut oldugundan config'de gorulmemesi gerekir, sanirim siz daha eski bir versiyondasiniz ve dogru bir is yaparak disable etmissiniz.
    Konu Fiver tarafından (31.10.2009 Saat 21:28 ) değiştirilmiştir. Sebep: resmen yanlis biliyormusum.. ;)

  3. #3
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    Arkadaşımız güzel açıklamış tşkler..

    Ek olarak = Saldırgan bu broadcast i gönderirken source adresini de değiştirerek kendini saklamayı başarır , bu atak DMZ lere (web server,dns server,ftp server vs..) ve ISP lere uygulandığında cihazları çalışmaz hale getirebilir , özellikle ISP ler çok fazla kullanıcıyla kontak halinde oldukları için , broadcast yaptıkları anda yüzlerce bilg dan kendilerine cevap gelir , tabi bu komut aracılığıyla artık geçmişte kalmış bir atak
    Mr.google knows everything , ask to him...

  4. #4
    latinkadir isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Sep 2009
    Mesajlar
    40

    Standart

    Anlatıklarınızdan anladığım bu komut routerın bir interface'ine gelen broadcast paketleri geçirmemesini sağlıyor. Peki bu komutla broadcastlari kapatırsak gerçekten broadcast göndermesi gerektiği durumlarda ne olacak?
    Yani ben o interfaceden özel bir uygulama için broadcast geçmesini istiyorsam ne olacak?

  5. #5
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    Başka bir network e ait broadcast paketinin geçmemesini sağlar , nasıl bir uygulama için geçmesini istiyceksiniz merak ettim
    Mr.google knows everything , ask to him...

  6. #6
    latinkadir isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Sep 2009
    Mesajlar
    40

    Standart

    Hocam router gelen broadcast isteğinin başka bir networke ait olduğunu nasıl anlayacak onu tam olarak anlamadım. Çünkü destination ip = 255.255.255.255

  7. #7
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    Atak yapılırken mesela 1.0.0.0/8 networkünün broadcast ine yani 1.255.255.255 e gönderilir paket , router paketin hedef adresine bakar bunun broadcast adresi olduğunu görünce drop eder , 255.255.255.255 şeklinde belirlediğinizde layer2 düzeyinde broadcast yapılır yani FF:FF:FF:FF:FF:FF mac adresine gönderilir , o subnet dışına gitmez
    Mr.google knows everything , ask to him...

  8. #8
    Fiver isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Oct 2008
    Mesajlar
    249

    Standart

    Derinlemesine isleyelim neler oluyor:

    (10.1.1.18/24) Host -> R1 -> R2 -> INTERNET -> R3 -> R4 -> Target (195.1.1.0/24)

    Host'tan 195.1.1.255 adresine gonderilen bir ping paketi, once Host tarafindan kendi networku disinda oldugu belirlenerek default gateway'i R1'e gonderilir. Bu paket Host'un icinde Layer2 tarafindan islenip kabloya aktarildiginda, asagidaki sekildedir:

    Source IP: 10.1.1.18 Dest IP: 195.1.1.255
    Source MAC: HostMAC DestMAC: R1 MAC

    Paket R1 tarafindan alinip bir sonraki hop'a gonderilir.

    Source IP: 10.1.1.18 Dest IP: 195.1.1.255
    Source MAC: R1MAC DestMAC: R2MAC

    Paket Internet'i gectikten sonra, R3'ten R4'e ulasir. Destination network R4'un bir interface'indedir. Ve paket bir directed-broadcast'tir. Yani geldigi adres ile broadcast edilecegi network farkli subnet'lerde. Bu durumda default config'de drop edilir.
    Sayet "ip directed-broadcast" acik olsaydi, paket asagidaki sekilde o segmente gonderilirdi:

    Source IP: 10.1.1.18 Dest IP: 255.255.255.255
    Source MAC: R4MAC DestMAC: FF-FF-FF-FF-FF-FF

    Segmentte bulunan makinalarin tumu bu paketi isleyerek unicast olarak baslangictaki hosta cevap verirlerdi.

    Source IP: 195.1.1.X Dest IP: 10.1.1.18
    Source MAC: X MAC DestMAC: R4MAC

    -------------------

    Gordugun gibi tum router'lar bu paketi hedef network'e ulasana kadar forward ettiler. Bunu test etmek icin kendi makinandan internete, mesela "tracert 195.1.1.255" ile bir traceroute gonder..

    -------------------

    Ote yandan kendi makinandan, bulundugun networkun broadcast adresine bir ping atarsan, paket isletim sisteminin tcp/ip stack'inde islenerek su sekilde ethernet'e aktarilir:

    ping 192.168.1.255

    Source IP: 192.168.1.X DestIP: 255.255.255.255
    SourceMAC: X MAC DestMAC: FF-FF-FF-FF-FF-FF


    Evet konu kisaca bunun gibi

  9. #9
    Orhan ERGUN isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Aug 2008
    Mesajlar
    256

    Standart

    Merhaba,
    Bu konuyla ilgili biraz açıklayıcı olsun. Fiver'in yazdıklarına da ekleme + düzeltme niteliğinde.

    Paket internete gonderilirken , broadcast iletimi diye bişey söz konusu olamaz , yani x.x.x.255 gibi broadcast adresine paketi manual olarak destination belirmedikce , siz x.x.x.1,2,3 gibi bir ip'ye ping attığınızda 255 gibi bir dönüşüm olduğunu yazdıklarından anlıyorum , yanlıs anladıysam söz meclis dışarı olsun , tekrarlıyorum boyle bir dönüşüm yok.

    Ancak , ip directed broadcast acıkken , 255 'e yada broadcast adresi neyse ping gonderildiğinde tum segmente broadcast edilir tabiki.

    Bunu özellikle uyguladığımız yerler olabiliyor , örneğin ; non -multicast ancak broadcast capable bir ortam olsun. Bu durumda non-multicast ortamda ip directed broadcast'i özellikle açar , ortamdan paketi broadcast taşır , tekrar multicaste sokabiliriz.

    Yani ip directed broadcast guvenlik riski evet ! Ama yararlandığımız uygulamalar da vardır. Bu vesileyle ios de kendine yer bulmustur.

    ORHAN ERGUN

  10. #10
    latinkadir isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Sep 2009
    Mesajlar
    40

    Standart

    Alıntı GhoSt Nickli Üyeden Alıntı Mesajı göster
    Atak yapılırken mesela 1.0.0.0/8 networkünün broadcast ine yani 1.255.255.255 e gönderilir paket , router paketin hedef adresine bakar bunun broadcast adresi olduğunu görünce drop eder , 255.255.255.255 şeklinde belirlediğinizde layer2 düzeyinde broadcast yapılır yani FF:FF:FF:FF:FF:FF mac adresine gönderilir , o subnet dışına gitmez
    Hocam kusura bakma anlamakta zorlanıyorum kafamdaki soru işaretlerini bir senaryo üzerinden soruyum.


    Mesela benim ip'im 192.168.1.2 subnet 255.255.255.0 olsun. Routerında eth0 bacağına bağlı oluyum ve eth0 ın ip'side 192.168.1.1/24 ve hostumun gw'i olsun.

    Senaryo 1:

    Eth0 default no ip directed-broadcast olarak tanımlı olsun.
    Hostum kendi networkünde broadcast paket göndereceği zaman paketin destinationını 192.168.1.255 yapar ve bu benim gw'im olan routerın eth0 bacağınada gelir. Burda router ne yapar. Paketi drop eder diyorsan bunun sebebi routerın broadcastleri geçirmemesimi yoksa no ip directed-broadcast komutmu. Yada broadcasti geçirirmi?

    Senaryo 2:

    Bu sefer host routera direk bağlı olmasın bir switche bağlı olsun ve switch routera bağlı olsun. Switchdede farklı kullanıcılar olsun.

    Routerın Eth0 default no ip directed-broadcast olarak tanımlı olsun.

    host --> 192.168.1.2/24
    gw --> 192.168.1.1/24 (router eth0)

    host 172.16.0.0 networküne broadcast göndereceği zaman

    paketi nereye nasıl gönderir? ve Router gelen broadcast paketi ne yapar?

    Yani host 172.16.0.0 networkü B class olduğu için bunun broadcast adresi 172.16.255.255'dir deyip buda benimle aynı networkte olmadığı için ben bunu gw'ime gönderirim diyerek paketin destination ipsine 172.16.255.255 destination mac'ede gw'in mac adresini yazarak sadece routeramı gönderir.
    Yada dest ip = 172.16.255.255 dest mac = FFFF.FFFF.FFFF.FFFF
    yapıp yapıp aynı zamanda switche bağlı bütün kullanıcılaramı gönderir?

    Ayrıca router bu paketi aldığında ne yapar?

    Kafam çok karıştı bunlara cevap bulursam konuyu tam olarak kavrayacağımı düşünüyorum?

    Bunları sorgularken bir hostun hangi durumlarda ne gibi broadcast isteklerinde bulunacağı broadcast paketin dest. ip ve mac. ine ne yazacağı, routerın bu isteklere nasıl cevap vereceği gibi konularda kavram karmaşası içinde olduğumu fark ettim.

    Yardımcı olursanız sevinirim.
    Konu latinkadir tarafından (05.11.2009 Saat 23:49 ) değiştirilmiştir.

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok