Атака на DTP
Что такое Атака на DTP?
Атака на DTPАтака, использующая Cisco Dynamic Trunking Protocol на access-порте для согласования транка с коммутатором и получения доступа к нескольким VLAN.
DTP (Dynamic Trunking Protocol) — проприетарный протокол Cisco, позволяющий двум коммутаторам автоматически согласовывать переход линка в 802.1Q-транк. Многие access-порты остаются в режиме по умолчанию dynamic auto или dynamic desirable, поэтому злоумышленник, отправляя DTP-кадры с хоста (Yersinia, scapy), убеждает коммутатор поднять с ним транк. После этого можно помечать кадры в любой разрешённый VLAN и попадать в сегменты, которые должны быть изолированы, — это классический вход в VLAN-хопинг через switch spoofing. Защита: задать всем пользовательским портам "switchport mode access" и "switchport nonegotiate", ограничить список разрешённых VLAN на транках и глобально отключить DTP.
● Примеры
- 01
Атака DTP в Yersinia переводит access-порт в режим транка и раскрывает все VLAN.
- 02
Linux-хост с vconfig и поддельным DTP-кадром расширяет доступ до голосового VLAN.
● Частые вопросы
Что такое Атака на DTP?
Атака, использующая Cisco Dynamic Trunking Protocol на access-порте для согласования транка с коммутатором и получения доступа к нескольким VLAN. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Атака на DTP?
Атака, использующая Cisco Dynamic Trunking Protocol на access-порте для согласования транка с коммутатором и получения доступа к нескольким VLAN.
Как работает Атака на DTP?
DTP (Dynamic Trunking Protocol) — проприетарный протокол Cisco, позволяющий двум коммутаторам автоматически согласовывать переход линка в 802.1Q-транк. Многие access-порты остаются в режиме по умолчанию dynamic auto или dynamic desirable, поэтому злоумышленник, отправляя DTP-кадры с хоста (Yersinia, scapy), убеждает коммутатор поднять с ним транк. После этого можно помечать кадры в любой разрешённый VLAN и попадать в сегменты, которые должны быть изолированы, — это классический вход в VLAN-хопинг через switch spoofing. Защита: задать всем пользовательским портам "switchport mode access" и "switchport nonegotiate", ограничить список разрешённых VLAN на транках и глобально отключить DTP.
Как защититься от Атака на DTP?
Защита от Атака на DTP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака на DTP?
Распространённые альтернативные названия: Злоупотребление Dynamic Trunking Protocol, Атака на согласование транка.
● Связанные термины
- attacks№ 1207
VLAN-хопинг
Атака на коммутаторы, позволяющая хосту отправлять или получать кадры в чужом VLAN за счёт злоупотребления согласованием транка или двойной меткой 802.1Q.
- attacks№ 1072
Атака на Spanning Tree Protocol
Атака уровня 2, в которой подделанные BPDU-кадры используются для манипуляции топологией STP, как правило, чтобы выбрать узел злоумышленника корневым мостом для MITM или DoS.
- attacks№ 062
ARP-спуфинг
Атака в локальной сети: подделанные ARP-сообщения связывают MAC-адрес злоумышленника с IP другого узла и перенаправляют трафик через атакующего.
- attacks№ 312
Подмена DHCP
Атака, при которой злоумышленник отвечает на DHCP-запросы поддельными офферами, чтобы навязать клиентам вредоносные шлюз, DNS или другие опции.
- attacks№ 944
Поддельный DHCP-сервер
Несанкционированный DHCP-сервер в сети, раздающий клиентам IP-конфигурацию и направляющий трафик к инфраструктуре, контролируемой злоумышленником, преднамеренно или случайно.