خواندن ۲ دقیقه·۶ سال پیش

Spanning Tree Protocol (STP) Spoofing Attack چیست و راه های مقابله با آن

حمله از نوع Spanning Tree Protocol (STP) Spoofing Attack و راه های مقابله با آن پروتکل "اس تی پی" جهت جلوگیری از ایجاد لوپ و تبدیل شدن ترافیک برادکست به برادکست استورم در لایه 2 شبکه هایی که به عمد با پورت های ریداندنت طراحی شده اند استفاده می شود ( بطور کلی جلوگیری از ایجاد لوپ) در لایه 2 شبکه. "اس تی پی " یک توپولوژی درختی را ایجاد میکند که روت یا ریشه مبدا رشد درخت می باشد. انتخاب روت توسط اولویت هر سویچ که در تنظیمات مشخص شده و یا روش پیش فرض دیگری که در پروتکل تعریف شده مشخص می شود. پس از تعریف روت سایر سویچ ها مسیری را برای رسیدن به روت انتخاب می کنند و سایر مسیر ها را بلاک می کنند.این پروتکل از " بی پی دی یو" برای اعلام تغییر توپولوژِی در شبکه استفاده می کند. در حمله به این پروتکل فرد نفوذگر بسته بی پی دی یو را به شبکه ارسال و پروتکل را مجبور به باز محاسبه روت میکند و خود را به عنوان سویچی با اولویت بالا برای روت شدن اعلام میکند " پرایوریتی " سپس در محاسبه مجدد روت دستگاه نفوذگر به روت تبدیل می شود.

علاوه بر ارسال برخی فریم های شبکه به روت هربار تحمیل محاسبه مجدد روت تداخلی بین 30 تا 45 ثانیه را بسته به ورژن " اس تی پی" به شبکه تحمیل می کند که باعث دنایل آف سرویس یا از کار افتادن سویس دهی در این بازه خواهد شد.

راه های مقابله با این حمله:

جلوی تبدیل شدن پورت هایی که هرگز نبایند روت پورت شوند را با دستور زیر بگیرید:

Switch(config-if)# spanning-tree guard root

اگر پورت سویچ "بی پی دی یو" دریافت کند به حالت

root-inconsistent state

می رود به معنی اینکه سویچ دیگری سعی دارد روت شود.

را دیگر ایجاد یک گارد روی پورت هایی است که هرگز نبایند "بی پی دی یو" دریافت کنند مثل پورت های اکسس:

اگر پورتی که "بی پی دی یو گارد روی آن تنظیم شده بی پی دی یو دریافت کند به حالت ارور دیزایبل خواهد رفت.

فعال کردن گارد روی پورت های اکسس:

Switch(config)# spanning-tree portfast bpduguard default

برای پورتی که اکسس نیست هم می توان با دستور زیر دریافت یا عدم دریافت بی پی دی یو را کنترل کرد:

Switch(config-if)#spanning-tree bpduguard (enable|disable)