RSTP快速生成树协议之(四):RSTP的保护功能

RSTP快速生成树协议之(四)RSTP的保护功能

  在上一个笔记中,我介绍了RSTP对于STP做出了哪些改进。这一节笔记,我们继续学习RSTP的保护功能,了解RSTP在对待可能的黑客攻击时,提供了哪些安全防御措施。

 

  BPDU保护

  (1)攻击原理

  RSTP为了减少不必要的拓扑收敛,可以通过配置指定边缘端口(edge port),通过边缘端口连接的设备可以不参与RSTP收敛,而直接将状态转为转发(Forwarding)状态。

  若边缘端口在收到BPDU后,会丧失边缘端口的属性,而重新加入到生成树计算中

 

  (2)攻击方式

  如下图所示,SWB配置了边缘端口(图中红色点处),这样就无须参与STP生成树计算。

   

  假设有一名黑客,在边缘端口处接入了一台运行生成树协议的交换机,此交换机向SWB发送RST BPDU报文,SWB从边缘端口收到BPDU报文后,会自动将该端口设置成非边缘端口,并重新进行生成树计算。也引起整个网络其他交换机也进行拓扑变更,致使网络震荡。从而达到攻击者的目的。

 

  (3) 防御措施--BPDU保护

  针对这种攻击方式,RSTP提供可配置的BPDU保护功能

  配置BPDU保护后,若边缘端口收到BPDU报文,交换机将会立即关闭该端口,直到管理员人工重新打开端口。这样就可以有效的防止网络发生震荡。

 

 

  根保护

  (1)攻击原理

  当一台根交换机从指定端口收到桥优先级比它高的BPDU报文时,会认为网络拓扑发生了改变,并放弃自己的根桥地位,转而去转发这个优先级比它高的BPDU报文。这样网络结构也会跟着变动。

  但是,如果这个优先级高的BPDU是来自一台属于黑客的交换机呢?这样,该黑客的交换机就会成为RSTP网络的根桥,网络内的所有交换机都必须经过该黑客的交换机才能进行转发,这无疑达到了黑客窃取数据的目的。

 

 

  (2)攻击方式

  如下图所示,RSTP网络中SWA为根桥。此时有一名黑客,将自己的交换机通过SWC接入到网络中。

   

  黑客可以将新接入交换机的桥优先级设置得比原根桥高,这样只要网络维护人员安全意识不高,网络中合法根桥有可能会收到优先级更高的RST BPDU,使得合法根桥失去根地位,从而引起网络拓扑结构的错误变动

 

 

  (3) 防御措施 -- 根保护

  针对这种攻击方式,RSTP提供可配置的根保护功能。

  一旦启用根保护功能的指定端口DP)收到优先级更高的RST BPDU时,端口状态将进入Discarding状态,不再转发报文。在经过一段时间,如果端口一直没有再收到优先级较高的RST BPDU,端口会自动恢复到正常的Forwarding状态。

  Tips:根(root)保护只能在指定端口上配置。

 

 

 

 

  TC-BPDU泛洪保护

  (1)攻击原理

  在前面的STP笔记中提到过,当下游交换机感知到网络拓扑发生变化时,会向上游(也就是根桥方向)发送TC-BPDU(TCN)报文,根桥收到报文后, 再统一向下游交换机发送TC报文,通知下游需要删除当前的MAC地址表。

  黑客可以利用这个机制,不断向RSTP网络中发送TC-BPDU报文,致使交换机频繁删除自己的MAC地址表,不仅对网络设备造成巨大的负担,而且增加了网络的不稳定性。

 

  (2)攻击方式

  如下图所示,黑客通过某种手段将自己的终端设备连接到RSTP网络中的交换机SWB的端口上。

   

  黑客可以通过不断地伪造和发送通告拓扑发生变更的TC-BPDU报文,交换机设备短时间内会收到很TC-BPDU报文,频繁的删除MAC地址表的操作会给设备造成很大的负担,给网络的稳定带来很多隐患。

 

 

  (3) 防御措施 -- TC-BPDU攻击保护

  通过启用防TC-BPDU报文攻击功能,在单位时间内,可以配置RSTP进程处理TC类型的BPDU的最大次数。如果在单位时间内,RSTP进程收到TC类型的BPDU报文数量大于配置的阈值时,RSTP进程只会处理阈值指定的次数,对于其他超出阈值的TC类型BPDU报文,定时器到期后,RSTP进程只对其统一处理一次。

  通过这种方式,可以避免频繁的删除MAC地址表项,从而达到保护交换机的目的。

  Tips缺省的单位时间是2秒,缺省的最大处理次数是3次

 

 

  以上介绍的就是RSTP在安全方面提供的保护功能。而具体的RSTP配置方式将会在下一节笔记继续进行介绍。

 

 

  RSTP快速生成树协议笔记之(一):STP协议的不足

 

  https://www.cnblogs.com/zylSec/p/14651273.html

 

  RSTP快速生成树协议笔记之(二):端口角色和端口状态的改进

 

  https://www.cnblogs.com/zylSec/p/14655908.html

 

  RSTP快速生成树协议之(三):RSTP对STP的改进以及数据包分析

 

  https://www.cnblogs.com/zylSec/p/14665145.html

 

  RSTP快速生成树协议之(四):RSTP的保护功能

 

  https://www.cnblogs.com/zylSec/p/14672493.html

 

  RSTP快速生成树协议之(五):RSTP配置实例与抓包分析

 

  https://www.cnblogs.com/zylSec/p/14675264.html

 

posted @ 2021-04-17 23:18  若水一瓢  阅读(1803)  评论(0编辑  收藏  举报