Broadcast: Unterschied zwischen den Versionen
| Zeile 29: | Zeile 29: | ||
== IP-Broadcast == | == IP-Broadcast == | ||
Broadcasts in IPv4 werden über eine [[Gruppenadresse]] realisiert | |||
=== Formen von IP-Broadcasts === | === Formen von IP-Broadcasts === | ||
Version vom 4. Februar 2024, 13:30 Uhr
Broadcast - Rundsendung an alle Empfänger
Beschreibung
- Broadcast
In Rechnernetzen eine Nachricht, bei der Datenpakete von einem Punkt aus an alle Teilnehmer eines Nachrichtennetzes übertragen werden
- In der Vermittlungstechnik ist ein Broadcast eine spezielle Form der Mehrpunktverbindung
- Ein Broadcast-Paket erreicht alle Teilnehmer eines lokalen Netzes
- ohne dass sie explizit als Empfänger angegeben sind
- Daraus folgt, dass Broadcasts sich auf das eigene Netzsegment beschränken sollten, und nicht von Routern weitergeleitet werden
- Soll eine Information an eine Gruppe von ausgewählten Teilnehmern gesendet werden, verwendet man stattdessen ein Multicast-Verfahren
- Jeder Empfänger eines Broadcasts entscheidet selbst, ob er im Falle seiner Zuständigkeit die erhaltene Nachricht entweder verarbeitet oder andernfalls stillschweigend verwirft
- Broadcasts gibt es auf verschiedenen Schichten des OSI-Referenzmodells
- Allen gemein ist, dass Broadcasts von einer höheren Schicht an die unteren Schichten entsprechend angepasst werden müssen
- So wird etwa ein IPv4-Broadcast als Ethernet-Broadcast an die MAC-Adresse
FF:FF:FF:FF:FF:FFgesendet - Ist das unterliegende Netz nicht broadcastfähig, zum Beispiel weil es – wie unter anderem das Internet – aus einer Menge von Punkt-zu-Punkt-Verbindungen besteht, kann die Nachricht stattdessen mittels eines Flooding-Algorithmus gesendet werden
Anwendungen
- Adressierung unbekannter Empfänger
- Ein Broadcast wird in einem Computernetz unter anderem verwendet, wenn die IP-Adresse des Empfängers der Nachricht noch unbekannt ist
- Diese Technik kommt gemäß OSI-Modell in der Vermittlungsschicht zum Einsatz
- Beispiele hierfür sind ARP, DHCP und Wake On LAN
- Netzwerkfähige Computerspiele verwenden Broadcasts, um eine Liste aller offenen Spiele im lokalen Netz zu finden, an denen der Nutzer teilnehmen kann
- Das Kommunikationsprotokoll SMB sucht per Broadcast Datei- und Druckerfreigaben im lokalen Netz
IP-Broadcast
Broadcasts in IPv4 werden über eine Gruppenadresse realisiert
Formen von IP-Broadcasts
- Es werden verschiedene Formen von IP-Broadcasts unterschieden
Limited Broadcast
- Ziel ist die IP-Adresse
255.255.255.255
- Dieses Ziel liegt immer im eigenen lokalen Netz und wird direkt in einen Ethernet-Broadcast umgesetzt
- Ein limited broadcast wird von einem Router nicht weitergeleitet
Directed Broadcast
- Ziel sind Teilnehmer eines bestimmten Netzes
- Die Adresse wird durch die Kombination aus Zielnetz und dem Setzen aller Hostbits auf 1 angegeben
- Die Adresse für einen directed broadcast in das Netz
192.168.0.0mit der Netzmaske255.255.255.0lautet somit:192.168.0.255(CIDR-Notation:192.168.0.255/24) - Ein directed broadcast wird von einem Router weitergeleitet, falls Quell- und Zielnetz unterschiedlich sind, und wird erst im Zielnetz in einen Ethernet-Broadcast umgesetzt
- Falls Quell- und Zielnetz identisch sind, entspricht dies einem limited broadcast
- Oft wird dieser Spezialfall auch als local broadcast bezeichnet
- Ein directed broadcast kann weiter differenziert betrachtet werden
- Der Broadcast kann als subnet-directed broadcast, als all-subnets-directed broadcast oder als net-directed broadcast auftreten
- Ein subnet-directed broadcast hat als Ziel ein festgelegtes Subnetz
- Ein all-subnets-directed broadcast ist ein Broadcast in allen Subnetzen eines Netzes, und ein net-directed broadcast wird in einem klassifizierten Netz, das nicht in Subnetze aufgeteilt ist, verteilt (zum Beispiel Broadcast an die Adresse 10.255.255.255 wird in einem Klasse A IP-Netz verteilt)
- Sicherheitsprobleme
- Wegen Sicherheitsproblemen mit DoS-Angriffen wurde das voreingestellte Verhalten von Routern in RFC 2644 für directed broadcasts geändert
- Router sollten directed broadcasts nicht weiterleiten
- IPv6 unterstützt keine Broadcasts mehr, es werden stattdessen Multicasts verwendet
Broadcast-Sturm
Broadcast-Sturm - starker Anstieg des Broadcast/Multicast-Verkehrs in einem Rechnernetz
- Broadcast-Stürme können schnell zum Ausfall eines Netzwerks führen
- Große Netzwerksegmente
- Viel Teilnehmer
- Große Broadcast-Domänen
- kann sich
- durch verschiedene Ursachen
- bei einem Broadcast-Sturm
- die Antwortzeit des Netzwerks
- durch einen Schneeballeffekt
- dramatisch erhöhen
Abgrenzung
- Routing-Schleifen
- Router, die auf Layer 3 des OSI-Modells arbeiten, leiten jedoch keine Layer-2-Broadcasts weiter, wie es Switches tun
- Unzutreffende Annahme
Router leiten keine Layer-3-Broadcasts weiter
- Es gibt Routing-Protokolle, die Broadcasts zu anderen Netzwerken weiterleiten
- Fehleinschätzung
Nur können Router eine Broadcast-Domäne begrenzen und damit Broadcast-Stürme eingrenzen
- Auch Switches mit VLANs oder Layer-3-Funktionalitäten
- Broadcast werden nicht mit Broadcasts beantwortet
- Allerdings kann ein Broadcast dazu genutzt werden, herauszufinden, wie auf einen empfangenen Broadcast geantwortet werden kann
- In redundanten Topologien kann ein solcher zweiter Broadcast dasjenige Netzwerkinterface erreichen, welches den initialen Broadcast gesendet hat
Ursachen
- In einem solchen Fall werden Broadcasts und Multicasts auf alle Ports weitergeleitet, mit Ausnahme des Ports, von dem der Datenverkehr kam
- Dadurch wird eine Schleife erzeugt, ein Switching Loop, und die Switches leiten die Broadcasts des jeweils anderen Switches weiter
- Denial-of-Service-Angriff
Darüber hinaus kann ein Broadcast-Sturm z. B. auch durch Denial-of-Service-Angriffe (wie den Smurf-Angriff oder den Fraggle-Angriff) oder durch eine fehlerhafte Netzwerkkarte ausgelöst werden
Maßnahmen
| Option | Beschreibung |
|---|---|
| Schleifen zwischen Switches verwalten | |
| In Metropol-Netzwerken | Ethernet Automatic Protection Switching (EAPS) |
| Filterung von Broadcasts durch Layer-3-Geräte | Router |
| Physikalische Segmentierung | einer Broadcast-Domäne durch Router oder Layer-3-Switches |
| Logische Segmentierung | einer Broadcast-Domäne durch VLANs |
| Router und Firewalls | können so konfiguriert werden, dass sie bösartige oder überdurchschnittlich viele Broadcasts erkennen und blockieren |
Sicherheit
- In den ersten Ethernetimplementierungen wurde die gesamte Kommunikation über einen gemeinsamen Bus, der in Form eines Koaxialkabels realisiert war, abgewickelt
- An diesen wurden alle Arbeitsstationen abhängig vom Kabeltyp entweder per T-Stück oder „Invasivstecker“ (auch Vampirklemme, Vampirabzweige oder Vampire Tap genannt) angeschlossen
- Jede Information, die von einem Computer gesendet wurde, wurde auch von allen empfangen
- Die über Ethernet verbundenen Geräte müssen ständig Informationen ausfiltern, die nicht für sie bestimmt sind
- Diese Tatsache kann genutzt werden, um Broadcast- (Rundruf-Nachrichten) an alle angeschlossenen Systeme zu senden
- Bei TCP/IP beispielsweise verwendet das ARP einen derartigen Mechanismus für die Auflösung der Schicht-2-Adressen
- Diese Tatsache ist auch ein Sicherheitsproblem von Ethernet, da ein Teilnehmer mit bösen Absichten den gesamten Datenverkehr auf der Leitung mitprotokollieren kann
- Eine mögliche Abhilfe ist der Einsatz von Kryptografie (Kryptografie) auf höheren Protokollebenen
- Die Vertraulichkeit der Verkehrsbeziehungen (wer tauscht mit wem in welchem Umfang wann Daten aus?) ist aber so nicht zu schützen
- Der Einsatz von (Repeater) Hubs zur Bildung von Multi-Segment-Ethernet-Netzen ändert hier nichts, weil alle Datenpakete in alle Segmente repliziert werden
- In moderneren Ethernetnetzen wurden zur Aufteilung der Kollisions-Domänen zunächst Bridges, heute Switches eingesetzt
- Durch diese wird ein Ethernet in Segmente zerlegt, in denen jeweils nur eine Untermenge an Endgeräten zu finden ist
- Werden ausschließlich Switches verwendet, so kann netzweit im Full-Duplex-Modus kommuniziert werden, das ermöglicht das gleichzeitige Senden und Empfangen für jedes Endgerät. Über Switches werden Datenpakete in der Regel direkt vom Sender zum Empfänger befördert – unbeteiligten Teilnehmern wird das Paket nicht zugestellt
- Broadcast- (deutsch: Rundruf-) und Multicast-Nachrichten hingegen werden an alle angeschlossenen Systeme gesendet
- Das erschwert das Ausspionieren und Mithören, der Sicherheitsmangel wird durch die Einrichtung einer „geswitchten“ Umgebung allerdings nur verringert und nicht behoben
- Zusätzlich zu den Broadcast-Meldungen werden auch die jeweils ersten Pakete nach einer Sendepause – dann, wenn der Switch die Ziel-MAC-Adresse (noch) nicht kennt – an alle angeschlossenen Systeme gesendet
- Dieser Zustand kann auch böswillig durch MAC-Flooding herbeigeführt werden
- Pakete können auch böswillig durch MAC-Spoofing umgeleitet werden
- Die Sicherheit des Betriebs im Sinne der störungsfreien Verfügbarkeit von Daten und Diensten beruht auf dem Wohlverhalten aller angeschlossenen Systeme
- Beabsichtigter oder versehentlicher Missbrauch muss in einer Ethernetumgebung durch Analyse des Datenverkehrs aufgedeckt werden (LAN-Analyse)
- Switches stellen vielfach statistische Angaben und Meldungen bereit, die Störungen frühzeitig erkennbar werden lassen bzw. Anlass geben zu einer detaillierteren Analyse
Anhang
Dokumentation
RFC
| RFC | Titel |
|---|---|
| 826 | Ethernet Address Resolution Protocol |
| 1812 | Requirements for IP Version 4 Routers |
| 2644 | Changing the Default for Directed Broadcasts in Routers |
| 826 | Ethernet Address Resolution Protocol |