局域网安全3 生成树协议攻击

 

1、接管根网桥

1)原理

发送更优的BPDU

2)攻击

工具：yersinia stp -attack 4

3） 接管后 变体攻击

·    攻击一原理：收到TCN BPDU时，不作处理，可能引起泛洪

·    攻击二原理：撤回抢根消息，使状态机转换

4）防范

Switch(config-if)#spanning-tree guard root       //防止抢根

 

2、配置BPDU泛洪攻击

1）原理：使交换一直处理BPDU

2）防范

Switch(config-if)#spanning-tree bpdufilter enable    //接终端口

Switch(config-if)#spanning-tree bpduguard enable     //接终端口

Switch(config)#errdisable recovery cause bpduguard   // 用于恢复端口

Switch(config)#errdisable recovery interval 30  // 恢复间隔 30s

 

3 、 TCN BPDU 泛洪攻击

1 ） 原理 ： 与第二种攻击类似

 

4、模拟一台双宿主交换机

1）原理：如图

 

3、防范说明：

·    bpduguard:收到bpdu马上将端口置为err-disable状态

·    bpdufilter：收到bpdu悄悄drop

·    root guard:收到更优的bpdu，置为root不一致