生成树协议攻击
生成树协议攻击 是什么?
生成树协议攻击二层攻击,通过伪造 BPDU 帧操控生成树拓扑,常将攻击者主机选举为根桥以实施 MITM 或 DoS。
STP 攻击滥用 802.1D/802.1w 对 BPDU(Bridge Protocol Data Unit)的信任。通过发送优先级极低的 BPDU,攻击者可被选举为新的根桥,触发交换网络重新收敛,使大量流量经过攻击者端口,有利于 MITM。持续 BPDU 洪泛还会引发不断收敛,事实上构成 DoS。Yersinia、ettercap、scapy 均可实施此类攻击。防御措施:在接入端口启用 BPDU Guard(收到 BPDU 即关闭端口)、在指定端口启用 Root Guard、必要处启用 BPDU Filter,并配合 storm control 与 802.1X 限制谁可访问交换 Fabric。
● 示例
- 01
用 Yersinia 的 "sending RAW Conf BPDU" 攻击让攻击者成为 Cisco 网络的根桥。
- 02
持续发送 BPDU 引起拓扑频繁重算,导致 LAN 性能下降。
● 常见问题
生成树协议攻击 是什么?
二层攻击,通过伪造 BPDU 帧操控生成树拓扑,常将攻击者主机选举为根桥以实施 MITM 或 DoS。 它属于网络安全的 攻击与威胁 分类。
生成树协议攻击 是什么意思?
二层攻击,通过伪造 BPDU 帧操控生成树拓扑,常将攻击者主机选举为根桥以实施 MITM 或 DoS。
生成树协议攻击 是如何工作的?
STP 攻击滥用 802.1D/802.1w 对 BPDU(Bridge Protocol Data Unit)的信任。通过发送优先级极低的 BPDU,攻击者可被选举为新的根桥,触发交换网络重新收敛,使大量流量经过攻击者端口,有利于 MITM。持续 BPDU 洪泛还会引发不断收敛,事实上构成 DoS。Yersinia、ettercap、scapy 均可实施此类攻击。防御措施:在接入端口启用 BPDU Guard(收到 BPDU 即关闭端口)、在指定端口启用 Root Guard、必要处启用 BPDU Filter,并配合 storm control 与 802.1X 限制谁可访问交换 Fabric。
如何防御 生成树协议攻击?
针对 生成树协议攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
生成树协议攻击 还有哪些其他名称?
常见的别称包括: BPDU 攻击, 根桥伪装, STP 根桥接管。
● 相关术语
- attacks№ 1207
VLAN 跳跃
针对交换机的攻击,通过滥用 trunk 协商或 802.1Q 双标签,使主机能够发送或接收原本不属于其所在 VLAN 的帧。
- attacks№ 363
DTP 攻击
在接入端口滥用 Cisco 动态中继协议(DTP),与交换机协商形成 trunk 以访问多个 VLAN 的攻击。
- attacks№ 062
ARP 欺骗
在本地网络中发送伪造 ARP 消息,将攻击者的 MAC 地址与他人 IP 绑定,从而将流量导向攻击者的攻击。
- attacks№ 312
DHCP 欺骗
攻击者通过伪造的应答回应 DHCP 请求,向受害客户端下发恶意网关、DNS 或其他选项的攻击。
- attacks№ 492
HSRP / VRRP 攻击
通过伪造高优先级的 HSRP 或 VRRP 报文,夺取子网的活跃网关角色并拦截流量的攻击。
● 参见
- № 313DHCP 饥饿攻击