Attaque Spanning-Tree
Qu'est-ce que Attaque Spanning-Tree ?
Attaque Spanning-TreeAttaque de couche 2 qui injecte de fausses BPDU pour manipuler la topologie Spanning-Tree, élisant souvent l'attaquant comme root bridge pour permettre du MITM ou un DoS.
Les attaques STP exploitent la confiance qu'accordent 802.1D/802.1w aux BPDU (Bridge Protocol Data Units). En émettant des BPDU avec une priorité très basse, l'attaquant peut être élu nouveau root bridge ; le réseau commuté reconverge alors et achemine une grande partie du trafic par son port, idéal pour le MITM. Un flood continu de BPDU peut aussi forcer une reconvergence permanente, équivalente à un DoS. Yersinia, ettercap, scapy implémentent ces techniques. Défenses : BPDU Guard sur les ports d'accès (port bloqué à réception de BPDU), Root Guard sur les ports désignés, BPDU Filter au besoin, storm control et 802.1X pour restreindre l'accès à la fabric.
● Exemples
- 01
Attaque Yersinia "sending RAW Conf BPDU" qui place l'attaquant en root bridge d'un réseau Cisco.
- 02
Flood de BPDU pour forcer la reconvergence continue et dégrader la LAN.
● Questions fréquentes
Qu'est-ce que Attaque Spanning-Tree ?
Attaque de couche 2 qui injecte de fausses BPDU pour manipuler la topologie Spanning-Tree, élisant souvent l'attaquant comme root bridge pour permettre du MITM ou un DoS. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Attaque Spanning-Tree ?
Attaque de couche 2 qui injecte de fausses BPDU pour manipuler la topologie Spanning-Tree, élisant souvent l'attaquant comme root bridge pour permettre du MITM ou un DoS.
Comment fonctionne Attaque Spanning-Tree ?
Les attaques STP exploitent la confiance qu'accordent 802.1D/802.1w aux BPDU (Bridge Protocol Data Units). En émettant des BPDU avec une priorité très basse, l'attaquant peut être élu nouveau root bridge ; le réseau commuté reconverge alors et achemine une grande partie du trafic par son port, idéal pour le MITM. Un flood continu de BPDU peut aussi forcer une reconvergence permanente, équivalente à un DoS. Yersinia, ettercap, scapy implémentent ces techniques. Défenses : BPDU Guard sur les ports d'accès (port bloqué à réception de BPDU), Root Guard sur les ports désignés, BPDU Filter au besoin, storm control et 802.1X pour restreindre l'accès à la fabric.
Comment se défendre contre Attaque Spanning-Tree ?
Les défenses contre Attaque Spanning-Tree combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Attaque Spanning-Tree ?
Noms alternatifs courants : Attaque BPDU, Spoofing du root bridge, Prise du root STP.
● Termes liés
- attacks№ 1207
VLAN hopping
Attaque sur switch permettant à un hôte d'envoyer ou recevoir des trames dans une VLAN à laquelle il ne devrait pas appartenir, en abusant de la négociation trunk ou du double tag 802.1Q.
- attacks№ 363
Attaque DTP
Attaque qui détourne le Dynamic Trunking Protocol de Cisco sur un port d'accès pour négocier un trunk avec le switch et atteindre plusieurs VLAN.
- attacks№ 062
Usurpation ARP
Attaque sur réseau local qui envoie des messages ARP falsifiés pour associer la MAC de l'attaquant à l'IP d'un autre hôte et rediriger le trafic.
- attacks№ 312
Spoofing DHCP
Attaque dans laquelle un adversaire répond aux requêtes DHCP avec des offres forgées pour imposer une passerelle, un DNS ou d'autres options malveillantes aux clients.
- attacks№ 492
Attaque HSRP / VRRP
Attaque injectant des messages HSRP ou VRRP forgés avec une priorité supérieure pour devenir le gateway actif d'un sous-réseau et intercepter le trafic.
● Voir aussi
- № 313Starvation DHCP