Атака на Spanning Tree Protocol
Что такое Атака на Spanning Tree Protocol?
Атака на Spanning Tree ProtocolАтака уровня 2, в которой подделанные BPDU-кадры используются для манипуляции топологией STP, как правило, чтобы выбрать узел злоумышленника корневым мостом для MITM или DoS.
Атаки на STP используют доверие, которое 802.1D/802.1w оказывает кадрам BPDU (Bridge Protocol Data Unit). Отправляя BPDU с очень низким приоритетом моста, злоумышленник может быть избран новым root bridge, что вынуждает сеть переcходиться, и значительная часть трафика начинает идти через его порт — идеально для MITM. Постоянный поток BPDU также способен вызывать непрерывную пересходимость и фактический DoS. Реализуется в Yersinia, ettercap, scapy. Защита: BPDU Guard на access-портах (выключает порт при получении BPDU), Root Guard на designated-портах, BPDU Filter там, где уместно, storm control и 802.1X для ограничения доступа к коммутационной фабрике.
● Примеры
- 01
Атака Yersinia "sending RAW Conf BPDU", делающая злоумышленника root bridge сети Cisco.
- 02
Поток BPDU, вызывающий постоянный пересчёт топологии и деградацию LAN.
● Частые вопросы
Что такое Атака на Spanning Tree Protocol?
Атака уровня 2, в которой подделанные BPDU-кадры используются для манипуляции топологией STP, как правило, чтобы выбрать узел злоумышленника корневым мостом для MITM или DoS. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Атака на Spanning Tree Protocol?
Атака уровня 2, в которой подделанные BPDU-кадры используются для манипуляции топологией STP, как правило, чтобы выбрать узел злоумышленника корневым мостом для MITM или DoS.
Как работает Атака на Spanning Tree Protocol?
Атаки на STP используют доверие, которое 802.1D/802.1w оказывает кадрам BPDU (Bridge Protocol Data Unit). Отправляя BPDU с очень низким приоритетом моста, злоумышленник может быть избран новым root bridge, что вынуждает сеть переcходиться, и значительная часть трафика начинает идти через его порт — идеально для MITM. Постоянный поток BPDU также способен вызывать непрерывную пересходимость и фактический DoS. Реализуется в Yersinia, ettercap, scapy. Защита: BPDU Guard на access-портах (выключает порт при получении BPDU), Root Guard на designated-портах, BPDU Filter там, где уместно, storm control и 802.1X для ограничения доступа к коммутационной фабрике.
Как защититься от Атака на Spanning Tree Protocol?
Защита от Атака на Spanning Tree Protocol обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака на Spanning Tree Protocol?
Распространённые альтернативные названия: BPDU-атака, Подмена root bridge, Захват корня STP.
● Связанные термины
- attacks№ 1207
VLAN-хопинг
Атака на коммутаторы, позволяющая хосту отправлять или получать кадры в чужом VLAN за счёт злоупотребления согласованием транка или двойной меткой 802.1Q.
- attacks№ 363
Атака на DTP
Атака, использующая Cisco Dynamic Trunking Protocol на access-порте для согласования транка с коммутатором и получения доступа к нескольким VLAN.
- attacks№ 062
ARP-спуфинг
Атака в локальной сети: подделанные ARP-сообщения связывают MAC-адрес злоумышленника с IP другого узла и перенаправляют трафик через атакующего.
- attacks№ 312
Подмена DHCP
Атака, при которой злоумышленник отвечает на DHCP-запросы поддельными офферами, чтобы навязать клиентам вредоносные шлюз, DNS или другие опции.
- attacks№ 492
Атака на HSRP / VRRP
Атака с подделкой сообщений HSRP или VRRP с более высоким приоритетом для захвата роли активного шлюза подсети и перехвата трафика.
● См. также
- № 313DHCP-голодание