Атака на DTP
Что такое Атака на DTP?
Атака на DTPАтака, использующая Cisco Dynamic Trunking Protocol на access-порте для согласования транка с коммутатором и получения доступа к нескольким VLAN.
DTP (Dynamic Trunking Protocol) — проприетарный протокол Cisco, позволяющий двум коммутаторам автоматически согласовывать переход линка в 802.1Q-транк. Многие access-порты остаются в режиме по умолчанию dynamic auto или dynamic desirable, поэтому злоумышленник, отправляя DTP-кадры с хоста (Yersinia, scapy), убеждает коммутатор поднять с ним транк. После этого можно помечать кадры в любой разрешённый VLAN и попадать в сегменты, которые должны быть изолированы, — это классический вход в VLAN-хопинг через switch spoofing. Защита: задать всем пользовательским портам "switchport mode access" и "switchport nonegotiate", ограничить список разрешённых VLAN на транках и глобально отключить DTP.
● Примеры
- 01
Атака DTP в Yersinia переводит access-порт в режим транка и раскрывает все VLAN.
- 02
Linux-хост с vconfig и поддельным DTP-кадром расширяет доступ до голосового VLAN.
● Частые вопросы
Что такое Атака на DTP?
Атака, использующая Cisco Dynamic Trunking Protocol на access-порте для согласования транка с коммутатором и получения доступа к нескольким VLAN. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Атака на DTP?
Атака, использующая Cisco Dynamic Trunking Protocol на access-порте для согласования транка с коммутатором и получения доступа к нескольким VLAN.
Как защититься от Атака на DTP?
Защита от Атака на DTP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака на DTP?
Распространённые альтернативные названия: Злоупотребление Dynamic Trunking Protocol, Атака на согласование транка.