DTP-Angriff
Was ist DTP-Angriff?
DTP-AngriffAngriff, der Ciscos Dynamic Trunking Protocol auf einem Access-Port missbraucht, um mit dem Switch einen Trunk auszuhandeln und Zugriff auf mehrere VLANs zu erhalten.
DTP (Dynamic Trunking Protocol) ist ein proprietäres Cisco-Protokoll, das zwei Switches automatisch aushandeln lässt, ob ein Link zum 802.1Q-Trunk wird. Viele Access-Ports stehen weiterhin auf dynamic auto oder dynamic desirable, sodass ein Angreifer von einem Host (Yersinia, scapy) DTP-Frames senden und den Switch zur Trunk-Bildung überreden kann. Im Trunk-Modus kann er Frames in beliebige erlaubte VLANs taggen und so eigentlich getrennte Segmente erreichen – der typische Einstieg in Switch-Spoofing-basiertes VLAN-Hopping. Abwehr: alle Benutzer-Ports als "switchport mode access" und "switchport nonegotiate" konfigurieren, erlaubte VLANs auf Trunks begrenzen, DTP global deaktivieren.
● Beispiele
- 01
Yersinia-DTP-Angriff, der einen Access-Port in den Trunk-Modus zwingt und alle VLANs offenlegt.
- 02
Linux-Host mit vconfig und gefälschtem DTP-Frame, der Zugriff auf das Voice-VLAN erweitert.
● Häufige Fragen
Was ist DTP-Angriff?
Angriff, der Ciscos Dynamic Trunking Protocol auf einem Access-Port missbraucht, um mit dem Switch einen Trunk auszuhandeln und Zugriff auf mehrere VLANs zu erhalten. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet DTP-Angriff?
Angriff, der Ciscos Dynamic Trunking Protocol auf einem Access-Port missbraucht, um mit dem Switch einen Trunk auszuhandeln und Zugriff auf mehrere VLANs zu erhalten.
Wie funktioniert DTP-Angriff?
DTP (Dynamic Trunking Protocol) ist ein proprietäres Cisco-Protokoll, das zwei Switches automatisch aushandeln lässt, ob ein Link zum 802.1Q-Trunk wird. Viele Access-Ports stehen weiterhin auf dynamic auto oder dynamic desirable, sodass ein Angreifer von einem Host (Yersinia, scapy) DTP-Frames senden und den Switch zur Trunk-Bildung überreden kann. Im Trunk-Modus kann er Frames in beliebige erlaubte VLANs taggen und so eigentlich getrennte Segmente erreichen – der typische Einstieg in Switch-Spoofing-basiertes VLAN-Hopping. Abwehr: alle Benutzer-Ports als "switchport mode access" und "switchport nonegotiate" konfigurieren, erlaubte VLANs auf Trunks begrenzen, DTP global deaktivieren.
Wie schützt man sich gegen DTP-Angriff?
Schutzmaßnahmen gegen DTP-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für DTP-Angriff?
Übliche alternative Bezeichnungen: Missbrauch des Dynamic Trunking Protocol, Trunk-Negotiation-Angriff.
● Verwandte Begriffe
- attacks№ 1207
VLAN-Hopping
Switch-Angriff, der einem Host das Senden oder Empfangen von Frames in einem VLAN ermöglicht, dem er nicht angehören sollte, durch Missbrauch der Trunk-Verhandlung oder 802.1Q-Double-Tagging.
- attacks№ 1072
Spanning-Tree-Protokoll-Angriff
Layer-2-Angriff, der gefälschte BPDU-Frames einspeist, um die Spanning-Tree-Topologie zu manipulieren, oft mit Wahl des Angreifer-Hosts zur Root-Bridge für MITM oder DoS.
- attacks№ 062
ARP-Spoofing
Angriff im lokalen Netz, der gefälschte ARP-Nachrichten verschickt, um die MAC-Adresse des Angreifers an die IP eines anderen Hosts zu binden und Datenverkehr umzuleiten.
- attacks№ 312
DHCP-Spoofing
Angriff, bei dem ein Angreifer DHCP-Anfragen mit gefälschten Angeboten beantwortet, um ein bösartiges Gateway, DNS oder andere Optionen an Opferclients zu verteilen.
- attacks№ 944
Rogue-DHCP-Server
Unautorisierter DHCP-Server im Netzwerk, der Clients IP-Konfigurationen verteilt und Traffic absichtlich oder versehentlich auf vom Angreifer kontrollierte Infrastruktur lenkt.