Bu saldırı This attack uses Spanning Tree Protocol (STP) kullanır ve saldırgan doğrudan veya başka bir anahtar aracılığıyla anahtardaki bir bağlantı noktasına bağlanır. STP parametreleri, saldırganın görünmeyecek çeşitli çerçeveleri görmesine yardımcı olan bir kök köprünün durumuna ulaşmak için manipüle edilir.
STP saldırıları tipik olarak, Spanning-Tree Protokolünün yeniden hesaplanmasına neden olan ve saldırganın anahtarının Layer 2 ağının kök köprüsü haline gelmesini sağlayan tahrif edilmiş Köprü Protokolü Veri Birimleri bilgilerini enjekte ederek Layer 2 ağının kök köprüsünü değiştirmeye odaklanır. Bu gerçekleştiğinde, trafik saldırganın anahtarı üzerinden iletilir ve saldırganın paket yakalama gibi basit araçları kullanarak her türlü veriyi görüntülemesine olanak tanır.
BPDU Guard özelliği, bir BPDU alan PortFast etkinleştirilmiş tüm bağlantı noktalarını hata devre dışı durumuna geçirir. Arayüz hata devre dışı durumuna getirildikten sonra, yönetici tarafından manuel olarak etkinleştirilmelidir, bu da ek bir güvenlik katmanı ve geçersiz yapılandırmalara veya olası güvenlik koşullarına güvenli bir yanıt sağlar. Ayrıca, bu bağlantı noktalarına alınan üstün BPDU'lar artık alınmayana kadar bağlantı noktası bu durumda kalacaktır.
Root Guard, yöneticilerin bir Katman 2 ağındaki kök anahtarın doğru yerleşimini tanımlamasına olanak tanıyan bir Cisco Catalyst anahtar özelliğidir. Root Guard özelliği, kök olmayan bağlantı noktaları olan tüm arabirimler üzerinde yapılandırılır. Bir Spanning-Tree Protokolü uygulamasında bir kök bağlantı noktası, anahtar üzerinde Spanning-Tree-anahtarlı etki alanının kök köprüsüne en yakın olan herhangi bir bağlantı noktasıdır.
Tüm anahtar için global olarak veya arayüz bazında etkinleştirilebilen BPDU Guard özelliğinin aksine, Root Guard özelliği yalnızca arayüz bazında etkinleştirilebilir. Bu, spanning-tree guard root arayüz yapılandırma komutu aracılığıyla gerçekleştirilir.
Saldırgan, Layer 2 anahtarlamalı ağa erişim elde etmek için bir erişim bağlantı noktasına başka bir anahtar gibi yetkisiz bir ağ cihazı bağlamaya çalışır. BPDU Guard, bir BPDU alan PortFast için yapılandırılmış bir arabirimi hata ile devre dışı bırakacaktır. Saldırgan STP kök köprüsünü manipüle etmeye çalışır, böylece tüm trafik kendi anahtarına yönlendirilir. Root Guard, bu özelliğin etkin olduğu üstün BPDU'ları alan bir arayüzdeki tüm paketlerin iletilmesini engeller. Bu eylemleri kontrol için “spanning-tree guard root” ve “spanning-tree bpdguard enable” komutları kullanılır.
and the attacker connects to a port on the switch, either directly or through another switch. STP parameters are manipulated to reach the state of a root bridge, which helps the attacker to see various frames that would otherwise not be visible.
STP attacks typically focus on changing the root bridge of the Layer 2 network by injecting falsified Bridge Protocol Data Units information, which causes the Spanning-Tree Protocol to recalculate and allows the attacker's switch to become the root bridge of the Layer 2 network. Once this happens, traffic is forwarded through the attacker's switch, allowing the attacker to view any type of data using simple tools such as packet capture.
The BPDU Guard feature puts all PortFast-enabled ports that receive a BPDU into a fault disabled state. Once the interface is placed in the error-disabled state, it must be manually enabled by the administrator, providing an additional layer of security and a secure response to invalid configurations or possible security conditions. Furthermore, the port will remain in this state until superior BPDUs received on these ports are no longer received.
Root Guard is a Cisco Catalyst switch feature that allows administrators to define the correct placement of the root switch in a Layer 2 network. The Root Guard feature is configured on all interfaces with non-root ports. In a Spanning-Tree Protocol implementation, a root port is any port on the switch that is closest to the root bridge of the Spanning-Tree-switched domain.
Unlike the BPDU Guard feature, which can be enabled globally for the entire switch or on a per-interface basis, the Root Guard feature can only be enabled on a per-interface basis. This is accomplished through the spanning-tree guard root interface configuration command.
An attacker attempts to connect an unauthorized network device, such as another switch, to an access port to gain access to the Layer 2 switched network. BPDU Guard will disable an interface configured for PortFast that receives a BPDU with error. The attacker tries to manipulate the STP root bridge so that all traffic is routed to its own switch. Root Guard blocks the forwarding of all packets on an interface that receives superior BPDUs with this feature enabled. The commands "spanning-tree guard root" and "spanning-tree bpdguard enable" are used to control these actions.
spanning-tree guard root
spanning-tree bpduguard enable