Broadcast: Unterschied zwischen den Versionen

Aus Foxwiki
Subpages:
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Keine Bearbeitungszusammenfassung
Zeile 2: Zeile 2:


== Beschreibung ==
== Beschreibung ==
; '''Broadcast'''  
; '''Broadcast'''
* In [[Rechnernetz]]en'' eine [[Nachricht]], bei der [[Datenpaket]]e von einem Punkt aus an alle [[Teilnehmer (Kommunikationssystem)|Teilnehmer]] eines [[Nachrichtennetz]]es [[Datenübertragung|übertragen]] werden''
* In [[Rechnernetz]]en'' eine [[Nachricht]], bei der [[Datenpaket]]e von einem Punkt aus an alle [[Teilnehmer (Kommunikationssystem)|Teilnehmer]] eines [[Nachrichtennetz]]es [[Datenübertragung|übertragen]] werden''


Zeile 8: Zeile 8:


; Ein Broadcast-Paket erreicht alle Teilnehmer eines [[Local Area Network|lokalen Netzes]]
; Ein Broadcast-Paket erreicht alle Teilnehmer eines [[Local Area Network|lokalen Netzes]]
* ohne dass sie explizit als Empfänger angegeben sind.
* ohne dass sie explizit als Empfänger angegeben sind


; Daraus folgt, dass Broadcasts sich auf das eigene [[Netzwerksegment|Netzsegment]] beschränken sollten, und nicht von [[Router]]n weitergeleitet werden.
; Daraus folgt, dass Broadcasts sich auf das eigene [[Netzwerksegment|Netzsegment]] beschränken sollten, und nicht von [[Router]]n weitergeleitet werden
* Soll eine Information an eine Gruppe von ausgewählten Teilnehmern gesendet werden, verwendet man stattdessen ein [[Multicast]]-Verfahren.
* Soll eine Information an eine Gruppe von ausgewählten Teilnehmern gesendet werden, verwendet man stattdessen ein [[Multicast]]-Verfahren


; Jeder Empfänger eines Broadcasts entscheidet selbst, ob er im Falle seiner Zuständigkeit die erhaltene Nachricht entweder verarbeitet oder andernfalls stillschweigend verwirft.
; Jeder Empfänger eines Broadcasts entscheidet selbst, ob er im Falle seiner Zuständigkeit die erhaltene Nachricht entweder verarbeitet oder andernfalls stillschweigend verwirft


; Broadcasts gibt es auf verschiedenen Schichten des [[OSI-Modell|OSI-Referenzmodell]]s
; Broadcasts gibt es auf verschiedenen Schichten des [[OSI-Modell|OSI-Referenzmodell]]s
* Allen gemein ist, dass Broadcasts von einer höheren Schicht an die unteren Schichten entsprechend angepasst werden müssen.
* Allen gemein ist, dass Broadcasts von einer höheren Schicht an die unteren Schichten entsprechend angepasst werden müssen
* So wird etwa ein [[IPv4]]-Broadcast als [[Ethernet]]-Broadcast an die [[MAC-Adresse]] <code>FF:FF:FF:FF:FF:FF</code> gesendet.
* So wird etwa ein [[IPv4]]-Broadcast als [[Ethernet]]-Broadcast an die [[MAC-Adresse]] <code>FF:FF:FF:FF:FF:FF</code> gesendet
* Ist das unterliegende Netz nicht broadcastfähig, zum Beispiel weil es – wie unter anderem das Internet – aus einer Menge von [[Direktverbindung|Punkt-zu-Punkt-Verbindungen]] besteht, kann die Nachricht stattdessen mittels eines [[Flooding-Algorithmus]] gesendet werden.
* Ist das unterliegende Netz nicht broadcastfähig, zum Beispiel weil es – wie unter anderem das Internet – aus einer Menge von [[Direktverbindung|Punkt-zu-Punkt-Verbindungen]] besteht, kann die Nachricht stattdessen mittels eines [[Flooding-Algorithmus]] gesendet werden


== Anwendungen ==
== Anwendungen ==
; Adressierung unbekannter Empfänger
; Adressierung unbekannter Empfänger
* Ein Broadcast wird in einem [[Computernetz]] unter anderem verwendet, wenn die [[IP-Adresse]] des [[Empfänger (Information)|Empfängers]] der Nachricht noch unbekannt ist.
* Ein Broadcast wird in einem [[Computernetz]] unter anderem verwendet, wenn die [[IP-Adresse]] des [[Empfänger (Information)|Empfängers]] der Nachricht noch unbekannt ist
* Diese Technik kommt gemäß OSI-Modell in der [[Vermittlungsschicht]] zum Einsatz.
* Diese Technik kommt gemäß OSI-Modell in der [[Vermittlungsschicht]] zum Einsatz
* Beispiele hierfür sind [[Address Resolution Protocol|ARP]], [[Dynamic Host Configuration Protocol|DHCP]] und [[Wake On LAN]].
* Beispiele hierfür sind [[Address Resolution Protocol|ARP]], [[Dynamic Host Configuration Protocol|DHCP]] und [[Wake On LAN]]
* Netzwerkfähige Computerspiele verwenden Broadcasts, um eine Liste aller offenen Spiele im lokalen Netz zu finden, an denen der Nutzer teilnehmen kann.
* Netzwerkfähige Computerspiele verwenden Broadcasts, um eine Liste aller offenen Spiele im lokalen Netz zu finden, an denen der Nutzer teilnehmen kann
* Das Kommunikationsprotokoll [[Server Message Block|SMB]] sucht per Broadcast [[Datei- und Druckerfreigabe]]n im lokalen Netz.
* Das Kommunikationsprotokoll [[Server Message Block|SMB]] sucht per Broadcast [[Datei- und Druckerfreigabe]]n im lokalen Netz


== IP-Broadcast ==
== IP-Broadcast ==
Zeile 40: Zeile 40:
==== Directed Broadcast ====
==== Directed Broadcast ====
; Ziel sind Teilnehmer eines bestimmten Netzes
; Ziel sind Teilnehmer eines bestimmten Netzes
* Die Adresse wird durch die Kombination aus Zielnetz und dem Setzen aller Hostbits auf 1 angegeben.
* Die Adresse wird durch die Kombination aus Zielnetz und dem Setzen aller Hostbits auf 1 angegeben
* Die Adresse für einen ''directed broadcast'' in das Netz <code>192.168.0.0</code> mit der [[Netzmaske]] <code>255.255.255.0</code> lautet somit: <code>192.168.0.255</code> ([[Classless Inter-Domain Routing|CIDR]]-Notation: <code>192.168.0.255/24</code>).
* Die Adresse für einen ''directed broadcast'' in das Netz <code>192.168.0.0</code> mit der [[Netzmaske]] <code>255.255.255.0</code> lautet somit: <code>192.168.0.255</code> ([[Classless Inter-Domain Routing|CIDR]]-Notation: <code>192.168.0.255/24</code>)
* Ein ''directed broadcast'' wird von einem Router weitergeleitet, falls Quell- und Zielnetz unterschiedlich sind, und wird erst im Zielnetz in einen Ethernet-Broadcast umgesetzt.
* Ein ''directed broadcast'' wird von einem Router weitergeleitet, falls Quell- und Zielnetz unterschiedlich sind, und wird erst im Zielnetz in einen Ethernet-Broadcast umgesetzt
* Falls Quell- und Zielnetz identisch sind, entspricht dies einem ''limited broadcast''.
* Falls Quell- und Zielnetz identisch sind, entspricht dies einem ''limited broadcast''
* Oft wird dieser Spezialfall auch als ''local broadcast'' bezeichnet.
* Oft wird dieser Spezialfall auch als ''local broadcast'' bezeichnet
* Ein ''directed broadcast'' kann weiter differenziert betrachtet werden.
* Ein ''directed broadcast'' kann weiter differenziert betrachtet werden
* Der Broadcast kann als ''subnet-directed broadcast'', als ''all-subnets-directed broadcast'' oder als ''net-directed broadcast'' auftreten.
* Der Broadcast kann als ''subnet-directed broadcast'', als ''all-subnets-directed broadcast'' oder als ''net-directed broadcast'' auftreten
* Ein ''subnet-directed broadcast'' hat als Ziel ein festgelegtes Subnetz.
* Ein ''subnet-directed broadcast'' hat als Ziel ein festgelegtes Subnetz
* Ein ''all-subnets-directed broadcast'' ist ein Broadcast in allen Subnetzen eines Netzes, und ein ''net-directed broadcast'' wird in einem klassifizierten Netz, das nicht in Subnetze aufgeteilt ist, verteilt (zum Beispiel Broadcast an die Adresse 10.255.255.255 wird in einem Klasse A IP-Netz verteilt).
* Ein ''all-subnets-directed broadcast'' ist ein Broadcast in allen Subnetzen eines Netzes, und ein ''net-directed broadcast'' wird in einem klassifizierten Netz, das nicht in Subnetze aufgeteilt ist, verteilt (zum Beispiel Broadcast an die Adresse 10.255.255.255 wird in einem Klasse A IP-Netz verteilt)


; Sicherheitsprobleme
; Sicherheitsprobleme
; Wegen Sicherheitsproblemen mit [[Denial of Service|DoS-Angriffen]] wurde das voreingestellte Verhalten von Routern in RFC 2644 für ''directed broadcasts'' geändert.
; Wegen Sicherheitsproblemen mit [[Denial of Service|DoS-Angriffen]] wurde das voreingestellte Verhalten von Routern in RFC 2644 für ''directed broadcasts'' geändert
* Router sollten ''directed broadcasts'' nicht weiterleiten.
* Router sollten ''directed broadcasts'' nicht weiterleiten


; [[IPv6]] unterstützt keine Broadcasts mehr, es werden stattdessen [[Multicast]]s verwendet.
; [[IPv6]] unterstützt keine Broadcasts mehr, es werden stattdessen [[Multicast]]s verwendet


== Broadcast-Sturm ==
== Broadcast-Sturm ==
Zeile 74: Zeile 74:
==== Abgrenzung ====
==== Abgrenzung ====
; Routing-Schleifen
; Routing-Schleifen
* Router, die auf [[:Kategorie:OSI/3 Network|Layer 3]] des [[OSI-Modell|OSI-Modells]] arbeiten, leiten jedoch keine [[OSI-Modell#Schicht_2_.E2.80.93_Sicherungsschicht|Layer-2]]-Broadcasts weiter, wie es Switches tun.
* Router, die auf [[:Kategorie:OSI/3 Network|Layer 3]] des [[OSI-Modell|OSI-Modells]] arbeiten, leiten jedoch keine [[OSI-Modell#Schicht_2_.E2.80.93_Sicherungsschicht|Layer-2]]-Broadcasts weiter, wie es Switches tun


; Unzutreffende Annahme
; Unzutreffende Annahme
Zeile 88: Zeile 88:
* In redundanten Topologien kann ein solcher zweiter Broadcast dasjenige [[Netzwerkschnittstelle|Netzwerkinterface]] erreichen, welches den initialen Broadcast gesendet hat
* In redundanten Topologien kann ein solcher zweiter Broadcast dasjenige [[Netzwerkschnittstelle|Netzwerkinterface]] erreichen, welches den initialen Broadcast gesendet hat


==== Ursachen ====
==== Ursachen ====
; Redundante Verkabelung mit zwei oder mehr [[Uplink|Uplinks]] zwischen [[Switch (Computertechnik)|Switches]]
; Redundante Verkabelung mit zwei oder mehr [[Uplink|Uplinks]] zwischen [[Switch (Computertechnik)|Switches]]
* In einem solchen Fall werden Broadcasts und Multicasts auf alle Ports weitergeleitet, mit Ausnahme des Ports, von dem der [[Datenverkehr]] kam
* In einem solchen Fall werden Broadcasts und Multicasts auf alle Ports weitergeleitet, mit Ausnahme des Ports, von dem der [[Datenverkehr]] kam
Zeile 117: Zeile 117:


== Sicherheit ==
== Sicherheit ==
; In den ersten Ethernetimplementierungen wurde die gesamte Kommunikation über einen gemeinsamen Bus, der in Form eines [[Koaxialkabel]]s realisiert war, abgewickelt.
; In den ersten Ethernetimplementierungen wurde die gesamte Kommunikation über einen gemeinsamen Bus, der in Form eines [[Koaxialkabel]]s realisiert war, abgewickelt
* An diesen wurden alle Arbeitsstationen abhängig vom Kabeltyp entweder per T-Stück oder „Invasivstecker“ (auch Vampirklemme, Vampirabzweige oder Vampire Tap genannt) angeschlossen.
* An diesen wurden alle Arbeitsstationen abhängig vom Kabeltyp entweder per T-Stück oder „Invasivstecker“ (auch Vampirklemme, Vampirabzweige oder Vampire Tap genannt) angeschlossen
* Jede Information, die von einem Computer gesendet wurde, wurde auch von allen empfangen.
* Jede Information, die von einem Computer gesendet wurde, wurde auch von allen empfangen
* Die über Ethernet verbundenen Geräte müssen ständig Informationen ausfiltern, die nicht für sie bestimmt sind.
* Die über Ethernet verbundenen Geräte müssen ständig Informationen ausfiltern, die nicht für sie bestimmt sind


; Diese Tatsache kann genutzt werden, um Broadcast- (Rundruf-Nachrichten) an alle angeschlossenen Systeme zu senden
; Diese Tatsache kann genutzt werden, um Broadcast- (Rundruf-Nachrichten) an alle angeschlossenen Systeme zu senden
* Bei TCP/IP beispielsweise verwendet das [[Address Resolution Protocol|ARP]] einen derartigen Mechanismus für die Auflösung der Schicht-2-Adressen.
* Bei TCP/IP beispielsweise verwendet das [[Address Resolution Protocol|ARP]] einen derartigen Mechanismus für die Auflösung der Schicht-2-Adressen
* Diese Tatsache ist auch ein Sicherheitsproblem von Ethernet, da ein Teilnehmer mit bösen Absichten den gesamten Datenverkehr auf der Leitung mitprotokollieren kann.
* Diese Tatsache ist auch ein Sicherheitsproblem von Ethernet, da ein Teilnehmer mit bösen Absichten den gesamten Datenverkehr auf der Leitung mitprotokollieren kann
* Eine mögliche Abhilfe ist der Einsatz von [[Kryptografie]] (Kryptografie) auf höheren Protokollebenen.
* Eine mögliche Abhilfe ist der Einsatz von [[Kryptografie]] (Kryptografie) auf höheren Protokollebenen
* Die Vertraulichkeit der Verkehrsbeziehungen (wer tauscht mit wem in welchem Umfang wann Daten aus?) ist aber so nicht zu schützen.
* Die Vertraulichkeit der Verkehrsbeziehungen (wer tauscht mit wem in welchem Umfang wann Daten aus?) ist aber so nicht zu schützen


; Der Einsatz von [[Hub (Netzwerktechnik)|(Repeater) Hubs]] zur Bildung von Multi-Segment-Ethernet-Netzen ändert hier nichts, weil alle Datenpakete in alle Segmente repliziert werden.
; Der Einsatz von [[Hub (Netzwerktechnik)|(Repeater) Hubs]] zur Bildung von Multi-Segment-Ethernet-Netzen ändert hier nichts, weil alle Datenpakete in alle Segmente repliziert werden


; In moderneren Ethernetnetzen wurden zur Aufteilung der Kollisions-Domänen zunächst [[Bridge|Bridges]], heute [[Switch (Netzwerktechnik)|Switches]] eingesetzt.
; In moderneren Ethernetnetzen wurden zur Aufteilung der Kollisions-Domänen zunächst [[Bridge|Bridges]], heute [[Switch (Netzwerktechnik)|Switches]] eingesetzt
* Durch diese wird ein Ethernet in Segmente zerlegt, in denen jeweils nur eine Untermenge an Endgeräten zu finden ist.
* Durch diese wird ein Ethernet in Segmente zerlegt, in denen jeweils nur eine Untermenge an Endgeräten zu finden ist
* Werden ausschließlich Switches verwendet, so kann netzweit im [[Full-duplex Ethernet|Full-Duplex-Modus]] kommuniziert werden, das ermöglicht das gleichzeitige Senden und Empfangen für jedes Endgerät. Über Switches werden Datenpakete in der Regel direkt vom Sender zum Empfänger befördert – unbeteiligten Teilnehmern wird das Paket nicht zugestellt.
* Werden ausschließlich Switches verwendet, so kann netzweit im [[Full-duplex Ethernet|Full-Duplex-Modus]] kommuniziert werden, das ermöglicht das gleichzeitige Senden und Empfangen für jedes Endgerät. Über Switches werden Datenpakete in der Regel direkt vom Sender zum Empfänger befördert – unbeteiligten Teilnehmern wird das Paket nicht zugestellt
* Broadcast- (deutsch: Rundruf-) und Multicast-Nachrichten hingegen werden an alle angeschlossenen Systeme gesendet.
* Broadcast- (deutsch: Rundruf-) und Multicast-Nachrichten hingegen werden an alle angeschlossenen Systeme gesendet


; Das erschwert das Ausspionieren und Mithören, der Sicherheitsmangel wird durch die Einrichtung einer „geswitchten“ Umgebung allerdings nur verringert und nicht behoben.
; Das erschwert das Ausspionieren und Mithören, der Sicherheitsmangel wird durch die Einrichtung einer „geswitchten“ Umgebung allerdings nur verringert und nicht behoben
* Zusätzlich zu den Broadcast-Meldungen werden auch die jeweils ersten Pakete nach einer Sendepause –&nbsp;dann, wenn der Switch die Ziel-MAC-Adresse (noch) nicht kennt&nbsp;– an alle angeschlossenen Systeme gesendet.
* Zusätzlich zu den Broadcast-Meldungen werden auch die jeweils ersten Pakete nach einer Sendepause –&nbsp;dann, wenn der Switch die Ziel-MAC-Adresse (noch) nicht kennt&nbsp;– an alle angeschlossenen Systeme gesendet
* Dieser Zustand kann auch böswillig durch [[MAC-Flooding]] herbeigeführt werden.
* Dieser Zustand kann auch böswillig durch [[MAC-Flooding]] herbeigeführt werden
* Pakete können auch böswillig durch [[MAC-Spoofing]] umgeleitet werden.
* Pakete können auch böswillig durch [[MAC-Spoofing]] umgeleitet werden


; Die Sicherheit des Betriebs im Sinne der störungsfreien Verfügbarkeit von Daten und Diensten beruht auf dem Wohlverhalten aller angeschlossenen Systeme.
; Die Sicherheit des Betriebs im Sinne der störungsfreien Verfügbarkeit von Daten und Diensten beruht auf dem Wohlverhalten aller angeschlossenen Systeme
* Beabsichtigter oder versehentlicher Missbrauch muss in einer Ethernetumgebung durch Analyse des Datenverkehrs aufgedeckt werden ([[LAN-Analyse]]).
* Beabsichtigter oder versehentlicher Missbrauch muss in einer Ethernetumgebung durch Analyse des Datenverkehrs aufgedeckt werden ([[LAN-Analyse]])
* Switches stellen vielfach statistische Angaben und Meldungen bereit, die Störungen frühzeitig erkennbar werden lassen bzw.&nbsp;Anlass geben zu einer detaillierteren Analyse.
* Switches stellen vielfach statistische Angaben und Meldungen bereit, die Störungen frühzeitig erkennbar werden lassen bzw.&nbsp;Anlass geben zu einer detaillierteren Analyse


<noinclude>
<noinclude>

Version vom 4. Februar 2024, 13:29 Uhr

Broadcast - Rundsendung an alle Empfänger

Beschreibung

Broadcast
Ein Broadcast-Paket erreicht alle Teilnehmer eines lokalen Netzes
  • ohne dass sie explizit als Empfänger angegeben sind
Daraus folgt, dass Broadcasts sich auf das eigene Netzsegment beschränken sollten, und nicht von Routern weitergeleitet werden
  • Soll eine Information an eine Gruppe von ausgewählten Teilnehmern gesendet werden, verwendet man stattdessen ein Multicast-Verfahren
Jeder Empfänger eines Broadcasts entscheidet selbst, ob er im Falle seiner Zuständigkeit die erhaltene Nachricht entweder verarbeitet oder andernfalls stillschweigend verwirft
Broadcasts gibt es auf verschiedenen Schichten des OSI-Referenzmodells
  • Allen gemein ist, dass Broadcasts von einer höheren Schicht an die unteren Schichten entsprechend angepasst werden müssen
  • So wird etwa ein IPv4-Broadcast als Ethernet-Broadcast an die MAC-Adresse FF:FF:FF:FF:FF:FF gesendet
  • Ist das unterliegende Netz nicht broadcastfähig, zum Beispiel weil es – wie unter anderem das Internet – aus einer Menge von Punkt-zu-Punkt-Verbindungen besteht, kann die Nachricht stattdessen mittels eines Flooding-Algorithmus gesendet werden

Anwendungen

Adressierung unbekannter Empfänger
  • Ein Broadcast wird in einem Computernetz unter anderem verwendet, wenn die IP-Adresse des Empfängers der Nachricht noch unbekannt ist
  • Diese Technik kommt gemäß OSI-Modell in der Vermittlungsschicht zum Einsatz
  • Beispiele hierfür sind ARP, DHCP und Wake On LAN
  • Netzwerkfähige Computerspiele verwenden Broadcasts, um eine Liste aller offenen Spiele im lokalen Netz zu finden, an denen der Nutzer teilnehmen kann
  • Das Kommunikationsprotokoll SMB sucht per Broadcast Datei- und Druckerfreigaben im lokalen Netz

IP-Broadcast

Broadcasts in IPv4 werden über eine Gruppenadresse realisiert

Formen von IP-Broadcasts

Es werden verschiedene Formen von IP-Broadcasts unterschieden

Limited Broadcast

Ziel ist die IP-Adresse 255.255.255.255
  • Dieses Ziel liegt immer im eigenen lokalen Netz und wird direkt in einen Ethernet-Broadcast umgesetzt
  • Ein limited broadcast wird von einem Router nicht weitergeleitet

Directed Broadcast

Ziel sind Teilnehmer eines bestimmten Netzes
  • Die Adresse wird durch die Kombination aus Zielnetz und dem Setzen aller Hostbits auf 1 angegeben
  • Die Adresse für einen directed broadcast in das Netz 192.168.0.0 mit der Netzmaske 255.255.255.0 lautet somit: 192.168.0.255 (CIDR-Notation: 192.168.0.255/24)
  • Ein directed broadcast wird von einem Router weitergeleitet, falls Quell- und Zielnetz unterschiedlich sind, und wird erst im Zielnetz in einen Ethernet-Broadcast umgesetzt
  • Falls Quell- und Zielnetz identisch sind, entspricht dies einem limited broadcast
  • Oft wird dieser Spezialfall auch als local broadcast bezeichnet
  • Ein directed broadcast kann weiter differenziert betrachtet werden
  • Der Broadcast kann als subnet-directed broadcast, als all-subnets-directed broadcast oder als net-directed broadcast auftreten
  • Ein subnet-directed broadcast hat als Ziel ein festgelegtes Subnetz
  • Ein all-subnets-directed broadcast ist ein Broadcast in allen Subnetzen eines Netzes, und ein net-directed broadcast wird in einem klassifizierten Netz, das nicht in Subnetze aufgeteilt ist, verteilt (zum Beispiel Broadcast an die Adresse 10.255.255.255 wird in einem Klasse A IP-Netz verteilt)
Sicherheitsprobleme
Wegen Sicherheitsproblemen mit DoS-Angriffen wurde das voreingestellte Verhalten von Routern in RFC 2644 für directed broadcasts geändert
  • Router sollten directed broadcasts nicht weiterleiten
IPv6 unterstützt keine Broadcasts mehr, es werden stattdessen Multicasts verwendet

Broadcast-Sturm

Entstehung eines Broadcast-Sturms

Broadcast-Sturm - starker Anstieg des Broadcast/Multicast-Verkehrs in einem Rechnernetz

Broadcast-Stürme können schnell zum Ausfall eines Netzwerks führen
Große Netzwerksegmente

Abgrenzung

Routing-Schleifen
Unzutreffende Annahme

Router leiten keine Layer-3-Broadcasts weiter

  • Es gibt Routing-Protokolle, die Broadcasts zu anderen Netzwerken weiterleiten
Fehleinschätzung

Nur können Router eine Broadcast-Domäne begrenzen und damit Broadcast-Stürme eingrenzen

  • Auch Switches mit VLANs oder Layer-3-Funktionalitäten
Broadcast werden nicht mit Broadcasts beantwortet
  • Allerdings kann ein Broadcast dazu genutzt werden, herauszufinden, wie auf einen empfangenen Broadcast geantwortet werden kann
  • In redundanten Topologien kann ein solcher zweiter Broadcast dasjenige Netzwerkinterface erreichen, welches den initialen Broadcast gesendet hat

Ursachen

Redundante Verkabelung mit zwei oder mehr Uplinks zwischen Switches
  • In einem solchen Fall werden Broadcasts und Multicasts auf alle Ports weitergeleitet, mit Ausnahme des Ports, von dem der Datenverkehr kam
  • Dadurch wird eine Schleife erzeugt, ein Switching Loop, und die Switches leiten die Broadcasts des jeweils anderen Switches weiter
Denial-of-Service-Angriff

Darüber hinaus kann ein Broadcast-Sturm z. B. auch durch Denial-of-Service-Angriffe (wie den Smurf-Angriff oder den Fraggle-Angriff) oder durch eine fehlerhafte Netzwerkkarte ausgelöst werden

Maßnahmen

Option Beschreibung
Schleifen zwischen Switches verwalten
In Metropol-Netzwerken Ethernet Automatic Protection Switching (EAPS)
Filterung von Broadcasts durch Layer-3-Geräte Router
Physikalische Segmentierung einer Broadcast-Domäne durch Router oder Layer-3-Switches
Logische Segmentierung einer Broadcast-Domäne durch VLANs
Router und Firewalls können so konfiguriert werden, dass sie bösartige oder überdurchschnittlich viele Broadcasts erkennen und blockieren

Sicherheit

In den ersten Ethernetimplementierungen wurde die gesamte Kommunikation über einen gemeinsamen Bus, der in Form eines Koaxialkabels realisiert war, abgewickelt
  • An diesen wurden alle Arbeitsstationen abhängig vom Kabeltyp entweder per T-Stück oder „Invasivstecker“ (auch Vampirklemme, Vampirabzweige oder Vampire Tap genannt) angeschlossen
  • Jede Information, die von einem Computer gesendet wurde, wurde auch von allen empfangen
  • Die über Ethernet verbundenen Geräte müssen ständig Informationen ausfiltern, die nicht für sie bestimmt sind
Diese Tatsache kann genutzt werden, um Broadcast- (Rundruf-Nachrichten) an alle angeschlossenen Systeme zu senden
  • Bei TCP/IP beispielsweise verwendet das ARP einen derartigen Mechanismus für die Auflösung der Schicht-2-Adressen
  • Diese Tatsache ist auch ein Sicherheitsproblem von Ethernet, da ein Teilnehmer mit bösen Absichten den gesamten Datenverkehr auf der Leitung mitprotokollieren kann
  • Eine mögliche Abhilfe ist der Einsatz von Kryptografie (Kryptografie) auf höheren Protokollebenen
  • Die Vertraulichkeit der Verkehrsbeziehungen (wer tauscht mit wem in welchem Umfang wann Daten aus?) ist aber so nicht zu schützen
Der Einsatz von (Repeater) Hubs zur Bildung von Multi-Segment-Ethernet-Netzen ändert hier nichts, weil alle Datenpakete in alle Segmente repliziert werden
In moderneren Ethernetnetzen wurden zur Aufteilung der Kollisions-Domänen zunächst Bridges, heute Switches eingesetzt
  • Durch diese wird ein Ethernet in Segmente zerlegt, in denen jeweils nur eine Untermenge an Endgeräten zu finden ist
  • Werden ausschließlich Switches verwendet, so kann netzweit im Full-Duplex-Modus kommuniziert werden, das ermöglicht das gleichzeitige Senden und Empfangen für jedes Endgerät. Über Switches werden Datenpakete in der Regel direkt vom Sender zum Empfänger befördert – unbeteiligten Teilnehmern wird das Paket nicht zugestellt
  • Broadcast- (deutsch: Rundruf-) und Multicast-Nachrichten hingegen werden an alle angeschlossenen Systeme gesendet
Das erschwert das Ausspionieren und Mithören, der Sicherheitsmangel wird durch die Einrichtung einer „geswitchten“ Umgebung allerdings nur verringert und nicht behoben
  • Zusätzlich zu den Broadcast-Meldungen werden auch die jeweils ersten Pakete nach einer Sendepause – dann, wenn der Switch die Ziel-MAC-Adresse (noch) nicht kennt – an alle angeschlossenen Systeme gesendet
  • Dieser Zustand kann auch böswillig durch MAC-Flooding herbeigeführt werden
  • Pakete können auch böswillig durch MAC-Spoofing umgeleitet werden
Die Sicherheit des Betriebs im Sinne der störungsfreien Verfügbarkeit von Daten und Diensten beruht auf dem Wohlverhalten aller angeschlossenen Systeme
  • Beabsichtigter oder versehentlicher Missbrauch muss in einer Ethernetumgebung durch Analyse des Datenverkehrs aufgedeckt werden (LAN-Analyse)
  • Switches stellen vielfach statistische Angaben und Meldungen bereit, die Störungen frühzeitig erkennbar werden lassen bzw. Anlass geben zu einer detaillierteren Analyse


Anhang

Dokumentation

RFC

RFC Titel
826 Ethernet Address Resolution Protocol
1812 Requirements for IP Version 4 Routers
2644 Changing the Default for Directed Broadcasts in Routers
826 Ethernet Address Resolution Protocol

Man-Pages

Info-Pages

Siehe auch

Links

Weblinks
  1. https://de.wikipedia.org/wiki/Broadcast
Abgerufen von „https://wiki.foxtom.de/index.php?title=Broadcast&oldid=93173