Stp — различия между версиями
Drakylar (обсуждение | вклад) м |
Drakylar (обсуждение | вклад) м (→Ссылки) |
||
(не показаны 2 промежуточные версии этого же участника) | |||
Строка 9: | Строка 9: | ||
Устройство с наименьшим приоритетом будет являться корневым (root). | Устройство с наименьшим приоритетом будет являться корневым (root). | ||
+ | |||
+ | == Методы защиты == | ||
+ | |||
+ | |||
+ | == Root-Guard == | ||
+ | |||
+ | Функция защиты по предотвращению фейковых root-пользователей. Выставляется на портах, к которым подключены клиенты. | ||
+ | |||
+ | == BPDU-Guard == | ||
+ | |||
+ | Если на порту появился пакет BPDU, то порт блокируется. | ||
+ | |||
+ | Может отключиться, если у порта выставить Trunk Mode тк это выключит технологию Portfast -> Выключит BPDU-Guard | ||
+ | |||
+ | Также можно выключать BPDU-Guard используя атаки на DTP. | ||
= Атаки = | = Атаки = | ||
Строка 34: | Строка 49: | ||
[https://www.nsc-com.com/support/more/principle-of-protocols-stp-rstp Принцип работы STP] | [https://www.nsc-com.com/support/more/principle-of-protocols-stp-rstp Принцип работы STP] | ||
+ | |||
+ | [https://www.whitewinterwolf.com/posts/2017/10/16/spanning-tree-protocol-exploitation/ Атаки на STP] |
Текущая версия на 16:39, 10 апреля 2022
STP - протокол уровня L2, задачей которой является устранение петель.
Содержание
Описание
BPDU - сообщение с инфой о коммутаторах. Эти сообщения отправляются раз в какой то интервал или при подключении устройства.
TCN - сообщение с изменением топологии.
Устройство с наименьшим приоритетом будет являться корневым (root).
Методы защиты
Root-Guard
Функция защиты по предотвращению фейковых root-пользователей. Выставляется на портах, к которым подключены клиенты.
BPDU-Guard
Если на порту появился пакет BPDU, то порт блокируется.
Может отключиться, если у порта выставить Trunk Mode тк это выключит технологию Portfast -> Выключит BPDU-Guard
Также можно выключать BPDU-Guard используя атаки на DTP.
Атаки
Основной критерий успешной атаки - что вы получаете сообщения BPDU.
Fake Root
Суть атаки заключается в создании фейковых BPDU пакетов чтобы другие устройства посчитали вас корневым устройством.
Делается это посредством изменения двух параметров:
- Priority - корневое устройство то, у которого ниже приоритет
- MAC-адрес - если вы не можете выставить приоритет ниже (лимит), то смотрят, у кого MAC-адрес меньше. Например, выставить 00:00:00:00:00:01