Spanning-Tree-Protokoll-Angriff
Was ist Spanning-Tree-Protokoll-Angriff?
Spanning-Tree-Protokoll-AngriffLayer-2-Angriff, der gefälschte BPDU-Frames einspeist, um die Spanning-Tree-Topologie zu manipulieren, oft mit Wahl des Angreifer-Hosts zur Root-Bridge für MITM oder DoS.
STP-Angriffe missbrauchen das Vertrauen, das 802.1D/802.1w in BPDU (Bridge Protocol Data Units) setzt. Durch BPDUs mit sehr niedriger Bridge-Priority kann der Angreifer als neue Root-Bridge gewählt werden; das Switch-Netz konvergiert neu, und ein großer Teil des Traffics läuft über seinen Port – ideal für MITM. Dauerhaftes BPDU-Flooding kann zudem eine Endlos-Konvergenz erzwingen und so de facto einen DoS auslösen. Tools: Yersinia, ettercap, scapy. Abwehr: BPDU Guard auf Access-Ports (Port wird bei BPDU-Empfang abgeschaltet), Root Guard auf designierten Ports, BPDU Filter wo sinnvoll, Storm Control und 802.1X zur Zugriffsbeschränkung auf die Fabric.
● Beispiele
- 01
Yersinia-Angriff "sending RAW Conf BPDU" macht den Angreifer zur Root-Bridge eines Cisco-Netzes.
- 02
BPDU-Flood erzwingt ständige Neuberechnung der Topologie und degradiert das LAN.
● Häufige Fragen
Was ist Spanning-Tree-Protokoll-Angriff?
Layer-2-Angriff, der gefälschte BPDU-Frames einspeist, um die Spanning-Tree-Topologie zu manipulieren, oft mit Wahl des Angreifer-Hosts zur Root-Bridge für MITM oder DoS. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Spanning-Tree-Protokoll-Angriff?
Layer-2-Angriff, der gefälschte BPDU-Frames einspeist, um die Spanning-Tree-Topologie zu manipulieren, oft mit Wahl des Angreifer-Hosts zur Root-Bridge für MITM oder DoS.
Wie funktioniert Spanning-Tree-Protokoll-Angriff?
STP-Angriffe missbrauchen das Vertrauen, das 802.1D/802.1w in BPDU (Bridge Protocol Data Units) setzt. Durch BPDUs mit sehr niedriger Bridge-Priority kann der Angreifer als neue Root-Bridge gewählt werden; das Switch-Netz konvergiert neu, und ein großer Teil des Traffics läuft über seinen Port – ideal für MITM. Dauerhaftes BPDU-Flooding kann zudem eine Endlos-Konvergenz erzwingen und so de facto einen DoS auslösen. Tools: Yersinia, ettercap, scapy. Abwehr: BPDU Guard auf Access-Ports (Port wird bei BPDU-Empfang abgeschaltet), Root Guard auf designierten Ports, BPDU Filter wo sinnvoll, Storm Control und 802.1X zur Zugriffsbeschränkung auf die Fabric.
Wie schützt man sich gegen Spanning-Tree-Protokoll-Angriff?
Schutzmaßnahmen gegen Spanning-Tree-Protokoll-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Spanning-Tree-Protokoll-Angriff?
Übliche alternative Bezeichnungen: BPDU-Angriff, Root-Bridge-Spoofing, STP-Root-Übernahme.
● Verwandte Begriffe
- attacks№ 1207
VLAN-Hopping
Switch-Angriff, der einem Host das Senden oder Empfangen von Frames in einem VLAN ermöglicht, dem er nicht angehören sollte, durch Missbrauch der Trunk-Verhandlung oder 802.1Q-Double-Tagging.
- attacks№ 363
DTP-Angriff
Angriff, der Ciscos Dynamic Trunking Protocol auf einem Access-Port missbraucht, um mit dem Switch einen Trunk auszuhandeln und Zugriff auf mehrere VLANs zu erhalten.
- attacks№ 062
ARP-Spoofing
Angriff im lokalen Netz, der gefälschte ARP-Nachrichten verschickt, um die MAC-Adresse des Angreifers an die IP eines anderen Hosts zu binden und Datenverkehr umzuleiten.
- attacks№ 312
DHCP-Spoofing
Angriff, bei dem ein Angreifer DHCP-Anfragen mit gefälschten Angeboten beantwortet, um ein bösartiges Gateway, DNS oder andere Optionen an Opferclients zu verteilen.
- attacks№ 492
HSRP-/VRRP-Angriff
Angriff, der gefälschte HSRP- oder VRRP-Nachrichten mit höherer Priorität einspeist, um zum aktiven Gateway eines Subnetzes zu werden und Traffic abzufangen.
● Siehe auch
- № 313DHCP-Starvation