Stp — различия между версиями

Материал из InformationSecurity WIKI
Перейти к: навигация, поиск
(Новая страница: «STP - протокол уровня L2, задачей которой является устранение петель. = Описание = BPDU - сооб…»)
 
м (Ссылки)
 
(не показаны 3 промежуточные версии этого же участника)
Строка 9: Строка 9:
  
 
Устройство с наименьшим приоритетом будет являться корневым (root).  
 
Устройство с наименьшим приоритетом будет являться корневым (root).  
 +
 +
== Методы защиты ==
 +
 +
 +
== Root-Guard ==
 +
 +
Функция защиты по предотвращению фейковых root-пользователей. Выставляется на портах, к которым подключены клиенты.
 +
 +
== BPDU-Guard ==
 +
 +
Если на порту появился пакет BPDU, то порт блокируется.
 +
 +
Может отключиться, если у порта выставить Trunk Mode тк это выключит технологию Portfast -> Выключит BPDU-Guard
 +
 +
Также можно выключать BPDU-Guard используя атаки на DTP.
  
 
= Атаки =
 
= Атаки =
Строка 31: Строка 46:
  
 
[https://habr.com/ru/post/419491/ Хабр]
 
[https://habr.com/ru/post/419491/ Хабр]
 +
 +
 +
[https://www.nsc-com.com/support/more/principle-of-protocols-stp-rstp Принцип работы STP]
 +
 +
[https://www.whitewinterwolf.com/posts/2017/10/16/spanning-tree-protocol-exploitation/ Атаки на STP]

Текущая версия на 16:39, 10 апреля 2022

STP - протокол уровня L2, задачей которой является устранение петель.


Описание

BPDU - сообщение с инфой о коммутаторах. Эти сообщения отправляются раз в какой то интервал или при подключении устройства.

TCN - сообщение с изменением топологии.

Устройство с наименьшим приоритетом будет являться корневым (root).

Методы защиты

Root-Guard

Функция защиты по предотвращению фейковых root-пользователей. Выставляется на портах, к которым подключены клиенты.

BPDU-Guard

Если на порту появился пакет BPDU, то порт блокируется.

Может отключиться, если у порта выставить Trunk Mode тк это выключит технологию Portfast -> Выключит BPDU-Guard

Также можно выключать BPDU-Guard используя атаки на DTP.

Атаки

Основной критерий успешной атаки - что вы получаете сообщения BPDU.

Fake Root

Суть атаки заключается в создании фейковых BPDU пакетов чтобы другие устройства посчитали вас корневым устройством.

Делается это посредством изменения двух параметров:

  • Priority - корневое устройство то, у которого ниже приоритет
  • MAC-адрес - если вы не можете выставить приоритет ниже (лимит), то смотрят, у кого MAC-адрес меньше. Например, выставить 00:00:00:00:00:01


Утилиты

Ссылки

Хабр


Принцип работы STP

Атаки на STP