Способы атак на протокол STP

Атаки вызывающие отказ в обслуживании

сеть атака протокол защита Так как протокол STP работает на канальном уровне, для успешного осуществления атак злоумышленнику необходимо иметь доступ к сети изнутри.

Рассмотрим возможные способы атак проистекающих из особенностей протокола.

Атака с подменой BPDU (BPDU-spooffing).

Из того что протокол STP, как упоминалось ранее, работает на канальном уровне и не предусматривает фильтрации BPDU по каналу с которого оно получено (ведь получение BPDU само по себе является событием протокола), следует, что граничные условия фильтрации пакетов к нему не применимы. Фильтрация пакетов совместимым STP-устройством невозможна, так как путь пакета не может содержать промежуточное устройство. Следовательно при подделке параметров STP пакета и адресов в MAC фрейме нет возможности отличить поддельные пакеты от настоящих.

Атака с постоянным перебором bridge id (вечные выборы).

Для успешного выполнения этой атаки, атакующий с помощью сетевого анализатора перехватывает BDPU от текущего корневого моста, после чего посылает свой BPDU c bridge id на единицу меньше. Таким образом он начинает процесс выборов корневого моста. Потом посылается BPDU с идентификатором моста на единицу меньше прошлого. При достижении минимального значения, атакующий ожидает пока оно не устареет из-за паузы, а затем начинает всё с начала. В итоге сеть постоянно находится в процессе выбора и порты не перейдут в состояние пересылки пакетов, пока будет продолжаться генерация BPDU вызывающих выборы.

Атака с исчезновением корневого моста. Эта атака похожа на предыдущую, но проще в реализации. Суть её в том, что атакующий сразу начинает посылать пакеты с минимально возможным bridge id. Периодически он перестаёт посылать конфигурационные пакеты, для того чтобы значение назначенного корня устарела, а затем вновь возобновляет. При этом способе атаке не требуется знать bridge id корневого моста. Если на одном из мостов установлен bridge id равный нулю, то атака DoS может быть реализована только на той части сети, к которой подключен атакующий. В этом случае ситуация когда два устройства имеют одинаковый bridge id может быть воспринята как петля и STP отключит либо порт атакующего либо другой порт. Зависеть это будет от соотношения номера порта атакующего и номера порта к которому подключена атакуемая часть сети.

Атака по алгоритму слияние-расхождение деревьев STP.

Эта атака возможна в сети с поддержкой VLAN. Если атакующей свяжет две VLAN и начнёт пересылать BPDU из одной сети в другую, то деревья STP увидят друг друга, и инициализируется выбор корневого моста. После окончания выборов, связь разрывается и выборы начинаются снова.

Атака путём фильтрации BPDU.

Суть этой атаки в том, что атакующий создаёт петлю между двумя STP-устройствами и фильтрует на этом сегменте все BPDU пакеты, не влияя на остальной трафик. Таким образом, основное назначение STP протокола выполнятся не будет.

Атаки направленные на перехват информации

Атака с навязыванием ложного маршрута или «человек посередине» (Man in the Middle — MitM).

Эта атака возможна, когда в сети как минимум два STP-устройства, причём жертвы атаки, трафик между которыми надо перехватить, подключены к разным мостам. Суть данной атаки сводится к тому, чтобы изменить структуру сети таким образом что интересующий атакующего трафик пойдёт через его станцию. Для этого станция атакующего должна быть оснащена двумя сетевыми интерфейсами. Один из них подключается к одному сегменту сети, а второй к другому. Атакующий посылает BPDU пакеты инициирующие выборы назначенного моста для каждого сегмента и выигрывает их. Тогда существующий канал между двумя сегментами выключается и весь трафик идёт через станцию атакующего. Если эта атака будет производится на мосты, которые не являются соседними, то атакующему будет необходимо подобрать значения root id.