V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
AirShark
V2EX  ›  路由器

交换机有可能像路由器一样搞各种劫持吗?

  •  
  •   AirShark · 2021-02-24 08:26:40 +08:00 via Android · 3129 次点击
    这是一个创建于 1351 天前的主题,其中的信息可能已经有所发展或是发生改变。
    房间里只有一个端口,想用交换机来拓展。
    主路由用的是华硕 AC1200GU 。

    国产交换机有没有可能像国产路由器一样搞各种劫持,在购物网站加上他的推广等等的?
    17 条回复    2021-02-28 12:31:39 +08:00
    huangya
        1
    huangya  
       2021-02-24 08:34:49 +08:00   ❤️ 2
    不太可能,交换机各个端口转发是硬件转发。那样搞,包要上到 CPU,成本可能有点大,产品没有竞争力。
    InuYasha1987
        2
    InuYasha1987  
       2021-02-24 08:36:36 +08:00 via Android   ❤️ 3
    先不说一个二层的设备上如何实现七层的功能。
    能跑起来这么高端功能的硬件为何不当路由器卖而便宜当交换机?
    bunnyblueair
        3
    bunnyblueair  
       2021-02-24 09:16:34 +08:00 via Android
    国产路由器这么厉害
    OliverDD
        4
    OliverDD  
       2021-02-24 09:28:21 +08:00
    如果是断个网那还差不多,arp 劫持。想实现你说的推广,那可是要解包的...交换机为了快速在线上大肆设计,不经过 cpu 。现在解个包再打包转发,所有包都在 cpu 那排队,在内存中拷贝来拷贝去,这成本会导致交换机比路由慢多了。
    xLuoBo
        5
    xLuoBo  
       2021-02-24 09:46:40 +08:00   ❤️ 1
    去某宝买一个带镜像功能的交换机吧,88 块钱左右;
    然后基于 libcap 写个程序 就能做到了
    当年我本机开发类似的程序就是这么做的;劫持了全公司的流量,谁去看片了分分钟知道;就是 https 无解。
    cmostuor
        6
    cmostuor  
       2021-02-24 09:57:02 +08:00
    理论上可以, 但没必要。 想知道如何实现去了解一下芯片设计。只要理解各种劫持的本质和思想用啥方式实现都行。
    cmostuor
        7
    cmostuor  
       2021-02-24 09:59:47 +08:00
    拿软件实现的功能其实拿纯硬件也可以实现, 处理速度会比纯软件要快很多但只不过成本高还不通用。
    cmostuor
        8
    cmostuor  
       2021-02-24 10:02:45 +08:00
    但走 https 的流量包很难用纯硬件实现劫持
    ungrown
        9
    ungrown  
       2021-02-24 12:11:55 +08:00
    可以做但没必要,这些功能一般在路由器上实现(当然不是日常用的那种)
    交换机主要还是用来组网,即使那些带三层协议的也是围绕组网功能,vlan,生成树,环
    systemcall
        10
    systemcall  
       2021-02-24 14:00:49 +08:00 via Android
    一般的交换机就是 Realtek 的单芯片方案吧,里面有个 24 系 EEPROM 或者 25 系 SPI Flash,用来支持不同的功能。CPU 就一个 8051,基本上靠专用电路来处理数据。网速上去了甚至可能变成集线器那样把包直接广播
    拆开看最靠谱。mt7620 之类的 MIPS 单核 CPU 挺便宜的而且内建百兆 VLAN 交换机,也有可能拿来搞劫持吧,不过用在一般的用户上面成本太高了
    systemcall
        11
    systemcall  
       2021-02-24 14:06:01 +08:00 via Android   ❤️ 1
    @OliverDD #4
    不少交换机芯片是支持 VLAN 的,用个端口比实际给用户使用的端口多的芯片,绑定 2 个端口做端口镜像,再拿个路由器的 CPU 就可以抓包分析数据了,电视盒子里面回收芯片的话也可以。和交换机芯片用 RGMII 来连接就可以了,很多交换机芯片是支持的
    用户那边应该感觉不到什么异常。要和服务器交互的话,可以趁着用户不容易发现的情况伪装成别的设备来通信,那个设备离线了就可以。比如家人出去的时候伪装成他们的手机,大部分人应该发现不了
    ScepterZ
        12
    ScepterZ  
       2021-02-24 14:09:54 +08:00
    国产路由器有谁家证据确凿在干这种事么……
    真的好奇,只知道之前某运营商干这个
    OliverDD
        13
    OliverDD  
       2021-02-24 15:26:18 +08:00
    @systemcall #11 学到了谢谢
    systemcall
        14
    systemcall  
       2021-02-24 15:31:26 +08:00 via Android
    @ScepterZ
    小米劫持 404 (是真的 404,返回 404 就会劫持到别的地方,运营商也干过,运营商以前还劫持不存在的网站到自己的广告页面,不然 chrome 为什么一启动就会 nslookup 一些不存在的域名?)
    现在据说是收敛了一些,但是感觉应该只是现在的 404 页面是 HTTPS 的不方便劫持了而已
    InuYasha1987
        15
    InuYasha1987  
       2021-02-24 15:33:02 +08:00 via Android
    @systemcall 监听简单,他这个要实时监听+修改,能做到的硬件性能起码做个企业路由不成问题,交换机这种一二十块钱的东西用这种硬件是绝对不可能的。
    JensenQian
        16
    JensenQian  
       2021-02-25 04:59:43 +08:00 via Android
    一般不太会,实在不行 doh,dot 伺候
    HawkinsSherpherd
        17
    HawkinsSherpherd  
       2021-02-28 12:31:39 +08:00
    技术上可行,可以理解为一个透明的防火墙,参考某些行为审计设备。
    但是这是交换机,没有人会在交换机上这么做的,有这种功能的叫防火墙。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5521 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 05:53 · PVG 13:53 · LAX 21:53 · JFK 00:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.