iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 15
10
Security

從 0 開始的 Web Security系列 第 15

Day 15 連結層攻擊實作 - STP Spoofing

  • 分享至 

  • xImage
  •  

我們前幾天介紹了一些不同的 OSI Layer 2 協定
今天我們將介紹另一個重要的 L2 連結層協定

STP(Spanning Tree Portocol)

STP,全名為 Spanning Tree Portocol,中文叫生成樹協定
介紹 L2 協定時我們也說過
用途為偵測網路實體連接拓樸
主要用來避免網路拓樸產生環狀結構(Loop)
網路中產生環狀結構時容易造成廣播風暴(Broadcast radiation、Broadcast Storm)
這個協定可以探測出網路的實體接線,並找出一個不會產生環狀結構的邏輯網路拓樸

廣播風暴

在介紹一下 STP 的運作原理前,我們先來介紹一下什麼是廣播風暴
因為現在大多數 Switch 預設都有啟用 STP,所以常常不會發現這個問題
https://ithelp.ithome.com.tw/upload/images/20200930/20129897wSHPL35T6g.png
在這個網路拓樸下,如果沒有開啟 STP 會發生什麼事呢
首先,當 PC A 發出了一個 L2 的廣播封包(像是之前介紹的 ARP 請求封包,就是廣播形式的)
PC A 將會發送至 Switch 2(他也只有連上 Switch 2,也沒辦法傳給其他人)
Switch 2 看到了這個封包,想說是廣播封包
所以複製了一份,傳給 Switch 1 與 Switch 3,這時候整個網路拓樸中就已經有兩份這個封包了,讓我們根據複製出來的封包做編號並分別講解

  1. 這時候 Switch 1 收到了一個廣播包,因為只有連接 Switch 1 與 Switch 3,而這個封包是從 Switch 2 收到了,所以只會被轉傳給 Switch 3
  2. Switch 3 也收到了一個廣播包,所以他決定複製一份,往其他實體網路接口傳送,也就是往 Switch 1 與 PC A

發現了嗎,這時候複製出來的這兩個封包就會留存在網路拓樸中
且因為 Layer 2 沒有 TTL(Time to Live)機制,沒辦法轉送超過一定數量設備後被丟棄
所以網路內的封包就會越來越多,且電腦也會一直收到複製出來的廣播封包
這時候就會造成 Switch 與終端設備要花資源來處理這些垃圾封包
而最終將會造成資源耗盡

STP 運作原理

STP 其實是算是一個有點小複雜的演算法,我們在這裡不會過多介紹計算方式
但我們要知道的是,STP 會透過一定算法,來將邏輯拓樸變換成一個樹的結構
在剛剛上面的例子,我們假設 Switch 2 為樹的 Root,則邏輯拓樸將會變為如下
Switch 1 與 Switch 3 之間將不會有連線,進而避免了廣播封包繼續傳遞下去
https://ithelp.ithome.com.tw/upload/images/20200930/201298974oa9D3BVHb.png
而這個樹中的 Root 可以是用某些條件自動產生的,又或者是人工指定的

BPDU(Bridge Protocol Data Unit)

BPDU,全名 Bridge Protocol Data Unit,是 STP 這個協定用來傳輸相關資料的資料包名稱,以下將會使用 BPDU 這個名字來講解 STP 的資料包

STP Hijack

我們說到的這個 Tree 的 Root 是某些條件自動產生的,但也可以人工指定
假設我們今天有以下的一個實體拓樸
https://ithelp.ithome.com.tw/upload/images/20200930/20129897aFX8Wg9APG.png
攻擊者就可以透過發送假的 STP 封包,跟 Switch 2 與 Switch 3 講說自己是管理者指定的 Root
這時候邏輯拓樸就會變得如下
https://ithelp.ithome.com.tw/upload/images/20200930/201298974sRs3e8jXi.png
發現了嗎,這雖然是一顆完整的樹,但最上層節點(Root)變為了攻擊者
這也間接導致了 PC A 與 PC B 之間的溝通,勢必要經由攻擊者才能到達,攻擊者就可以藉此監聽或竄改 PC A 與 PC B 之間的溝通

BPDU 相關攻擊

TCN (Topology Change Notification) DoS

當生成樹結構改變時,正常情況下需要通知全體 Switch,讓他們更改 Forwarding Table,這樣才能將封包傳送到正確的地方
而攻擊者可以模擬假的 TCN 封包,讓交換器頻繁的情除 Forwarding Table,造成需要重新學習設備 MAC,導致轉發功能無法工作,造成連線障礙

Ignore TCN

就像上面所說的,如果當生成樹結構改變時,正常情況下需要通知全體 Switch,但如果沒有通知的話,就會造成交換器的 Forwarding Table 在一段時間內無法正確轉送封包,頻繁的生成樹結構改變加上沒有正確通知交換器,就會導致轉發功能無法工作,造成連線障礙

Other BPDU DoS

當發送大量偽造 BPDU 時,交換器以為實體結構改變了,需要計算新的生成樹,這時候就會造成資源耗損,但需要發送大量偽造 BPDU,且並沒有較直接的攻擊效果,只能造成資源耗用

STP 相關攻擊防治方法

首先,我們有一種顯而易見的方法,就是禁止交換器上的終端設備連接孔的 BPDU
就上面 STP Hijack 的實體連結拓樸來看
https://ithelp.ithome.com.tw/upload/images/20200930/20129897S56zryjbm8.png

如果我們只信任綠色三條線路兩端的連接孔來接收 BPDU 相關封包
我們就可以避免攻擊者同時接上兩台 Switch 來達成流量劫持的效果
也可以避免 PC A 與 PC B 發送其他 BPDU 攻擊
但這樣有一個缺點
當如果有一個使用者私自接上了 Switch
https://ithelp.ithome.com.tw/upload/images/20200930/20129897elpWECUcwK.png
如上圖 Switch 4,這時候 STP 就無法正確處理網路拓樸,導致 Loop 的產生
所以同時也要搭配公司政策或者其他設定(Storm Control)等做使用

小結

本篇稍稍講解了 STP 這個連接層協定可能造成的一些問題
這裡有另一篇十分具有參考價值的文章,但內容稍微複雜且偏向實作
如我的文章中有講解不到位的地方,這篇文章基本涵蓋了大部分內容
Spanning Tree Protocol Attack 生成樹協定攻擊 - Jan Ho 的網絡世界
但實作較偏向 Cisco 的做法,其他廠牌略有不同,故在此不多作介紹


上一篇
Day 14 連結層攻擊實作 - ARP Spoofing
下一篇
Day 16 攻擊向量 (3) - 網路層 (OSI L3) & 傳輸層 (OSI L4)
系列文
從 0 開始的 Web Security22
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 則留言

0
daisuketw
iT邦新手 5 級 ‧ 2020-10-01 01:32:54

越來越複雜ㄌ

0
wlhfor1974
iT邦新手 3 級 ‧ 2020-10-05 08:59:01

最近在重唸STP,真的有點小複雜,我發現現在很多SW預設是把STP關掉的,不知為什麼.

seadog007 iT邦新手 5 級 ‧ 2020-10-05 10:15:59 檢舉

你應該是指家用的吧._.
商用的應該預設都是開的

我要留言

立即登入留言