Entry № 1194
生成树协议攻击
生成树协议攻击 是什么?
生成树协议攻击二层攻击,通过伪造 BPDU 帧操控生成树拓扑,常将攻击者主机选举为根桥以实施 MITM 或 DoS。
STP 攻击滥用 802.1D/802.1w 对 BPDU(Bridge Protocol Data Unit)的信任。通过发送优先级极低的 BPDU,攻击者可被选举为新的根桥,触发交换网络重新收敛,使大量流量经过攻击者端口,有利于 MITM。持续 BPDU 洪泛还会引发不断收敛,事实上构成 DoS。Yersinia、ettercap、scapy 均可实施此类攻击。防御措施:在接入端口启用 BPDU Guard(收到 BPDU 即关闭端口)、在指定端口启用 Root Guard、必要处启用 BPDU Filter,并配合 storm control 与 802.1X 限制谁可访问交换 Fabric。
● 示例
- 01
用 Yersinia 的 "sending RAW Conf BPDU" 攻击让攻击者成为 Cisco 网络的根桥。
- 02
持续发送 BPDU 引起拓扑频繁重算,导致 LAN 性能下降。
● 常见问题
生成树协议攻击 是什么?
二层攻击,通过伪造 BPDU 帧操控生成树拓扑,常将攻击者主机选举为根桥以实施 MITM 或 DoS。 它属于网络安全的 攻击与威胁 分类。
生成树协议攻击 是什么意思?
二层攻击,通过伪造 BPDU 帧操控生成树拓扑,常将攻击者主机选举为根桥以实施 MITM 或 DoS。
如何防御 生成树协议攻击?
针对 生成树协议攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
生成树协议攻击 还有哪些其他名称?
常见的别称包括: BPDU 攻击, 根桥伪装, STP 根桥接管。