Ataque al protocolo Spanning-Tree
¿Qué es Ataque al protocolo Spanning-Tree?
Ataque al protocolo Spanning-TreeAtaque de capa 2 que inyecta BPDUs falsas para manipular la topología STP, normalmente eligiendo al equipo del atacante como root bridge para habilitar MITM o DoS.
Los ataques STP abusan de la confianza que 802.1D/802.1w concede a las BPDU (Bridge Protocol Data Units). Emitiendo BPDU con prioridad muy baja, el atacante puede convertirse en el nuevo root bridge y forzar a la red conmutada a reconverger, encaminando gran parte del tráfico por su puerto — ideal para MITM. El flood continuo de BPDU también puede causar reconvergencia constante y un DoS de facto. Yersinia, ettercap o scapy lo implementan. Defensas: BPDU Guard en puertos de acceso (apaga el puerto al recibir BPDU), Root Guard en puertos designados, BPDU Filter donde corresponda, storm control y 802.1X para limitar el acceso a la fabric.
● Ejemplos
- 01
Ataque "sending RAW Conf BPDU" de Yersinia que convierte al atacante en root bridge de una red Cisco.
- 02
Flood de BPDU que provoca recálculo continuo de topología y degrada la LAN.
● Preguntas frecuentes
¿Qué es Ataque al protocolo Spanning-Tree?
Ataque de capa 2 que inyecta BPDUs falsas para manipular la topología STP, normalmente eligiendo al equipo del atacante como root bridge para habilitar MITM o DoS. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Ataque al protocolo Spanning-Tree?
Ataque de capa 2 que inyecta BPDUs falsas para manipular la topología STP, normalmente eligiendo al equipo del atacante como root bridge para habilitar MITM o DoS.
¿Cómo funciona Ataque al protocolo Spanning-Tree?
Los ataques STP abusan de la confianza que 802.1D/802.1w concede a las BPDU (Bridge Protocol Data Units). Emitiendo BPDU con prioridad muy baja, el atacante puede convertirse en el nuevo root bridge y forzar a la red conmutada a reconverger, encaminando gran parte del tráfico por su puerto — ideal para MITM. El flood continuo de BPDU también puede causar reconvergencia constante y un DoS de facto. Yersinia, ettercap o scapy lo implementan. Defensas: BPDU Guard en puertos de acceso (apaga el puerto al recibir BPDU), Root Guard en puertos designados, BPDU Filter donde corresponda, storm control y 802.1X para limitar el acceso a la fabric.
¿Cómo defenderse de Ataque al protocolo Spanning-Tree?
Las defensas contra Ataque al protocolo Spanning-Tree combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Ataque al protocolo Spanning-Tree?
Nombres alternativos comunes: Ataque BPDU, Suplantación del root bridge, Toma de control del root STP.
● Términos relacionados
- attacks№ 1207
VLAN hopping
Ataque a switches que permite a un host enviar o recibir tramas en una VLAN a la que no debería pertenecer, abusando de la negociación de trunking o del doble etiquetado 802.1Q.
- attacks№ 363
Ataque DTP
Ataque que abusa del Dynamic Trunking Protocol de Cisco en un puerto de acceso para negociar un trunk con el switch y obtener acceso a varias VLAN.
- attacks№ 062
Suplantación ARP
Ataque en la red local que envía mensajes ARP falsificados para asociar la MAC del atacante con la IP de otro host y desviar el tráfico.
- attacks№ 312
Suplantación de DHCP
Ataque en el que un adversario responde a peticiones DHCP con ofertas falsificadas para imponer un gateway, DNS u otras opciones maliciosas a los clientes víctima.
- attacks№ 492
Ataque HSRP / VRRP
Ataque que inyecta mensajes HSRP o VRRP falsificados con mayor prioridad para asumir el rol de gateway activo del subred e interceptar tráfico.
● Véase también
- № 313Starvation de DHCP