STP 攻击是如何工作的?

网络工程 联网 生成树
2022-02-20 04:10:28

我正在阅读 STP 的工作原理,我想到了一个想法。

我认为攻击者可以添加一个新交换机(不知何故,我不知道它是否可以远程完成)或者可以操纵现有交换机的配置。如果攻击者将 BID 值设置为最低,则该交换机将成为根交换机,整个网络将从该交换机流出。此外,如果将交换机设置为动态期望,则交换机可以学习网络,并且可以通过协商学习网络。我对这个想法进行了一些研究,我发现确实存在一种称为 STP 攻击的攻击。

我想知道的是,这种攻击是如何使用wireshark或任何其他工具进行的,有什么风险以及网络工程师如何防止这种情况发生?需要哪些配置?禁用协商和 DTP 并手动设置整个网络是个好主意吗?

编辑:我找到了一个名为 Root Guard 的解决方案。

1个回答

有几种方法可以“攻击”STP 网络。您需要使用以下选项保护边缘端口(或其他不受信任的端口)

  • root-guard- 防止端口成为根端口
  • bpdu-guard- 禁用 BPDU 接收端口
  • bpdu-filter- 忽略在给定端口上接收到的 BPDU(禁用 STP 循环检测!)
  • tcn-guard- 忽略在给定端口上收到的拓扑更改通知

请注意,即使您可以使交换机根连接到接入层,也没有多少流量流过它。您还必须在核心开关之间放置开关。大多数情况下,您只会干扰正确的流量分配。

当然,如何利用这种“攻击”是题外话,无法讨论。

其它你可能感兴趣的问题
上一篇使用媒体转换器对以太网->光纤->以太网进行故障排除 下一篇如何检测以太网电缆的最大速度?