RSTP快速生成樹協議之(四)：RSTP的保護功能

RSTP快速生成樹協議之（四）RSTP的保護功能

　　在上一個筆記中，我介紹了RSTP對於STP做出了哪些改進。這一節筆記，我們繼續學習RSTP的保護功能，了解RSTP在對待可能的黑客攻擊時，提供了哪些安全防御措施。

 

　　BPDU保護

　　（1）攻擊原理

　　RSTP為了減少不必要的拓撲收斂，可以通過配置指定邊緣端口（edge port），通過邊緣端口連接的設備可以不參與RSTP收斂，而直接將狀態轉為轉發（Forwarding）狀態。

　　若邊緣端口在收到BPDU后，會喪失邊緣端口的屬性，而重新加入到生成樹計算中。

 

　　（2）攻擊方式

　　如下圖所示，SWB配置了邊緣端口（圖中紅色點處），這樣就無須參與STP生成樹計算。

 　　

　　假設有一名黑客，在邊緣端口處接入了一台運行生成樹協議的交換機，此交換機向SWB發送RST BPDU報文，SWB從邊緣端口收到BPDU報文后，會自動將該端口設置成非邊緣端口，並重新進行生成樹計算。也引起整個網絡其他交換機也進行拓撲變更，致使網絡震盪。從而達到攻擊者的目的。

 

　　（3） 防御措施--BPDU保護

　　針對這種攻擊方式，RSTP提供可配置的BPDU保護功能。

　　配置BPDU保護后，若邊緣端口收到BPDU報文，交換機將會立即關閉該端口，直到管理員人工重新打開端口。這樣就可以有效的防止網絡發生震盪。

 

 

　　根保護

　　（1）攻擊原理

　　當一台根交換機從指定端口收到橋優先級比它高的BPDU報文時，會認為網絡拓撲發生了改變，並放棄自己的根橋地位，轉而去轉發這個優先級比它高的BPDU報文。這樣網絡結構也會跟着變動。

　　但是，如果這個優先級高的BPDU是來自一台屬於黑客的交換機呢？這樣，該黑客的交換機就會成為RSTP網絡的根橋，網絡內的所有交換機都必須經過該黑客的交換機才能進行轉發，這無疑達到了黑客竊取數據的目的。

 

 

　　（2）攻擊方式

　　如下圖所示，RSTP網絡中SWA為根橋。此時有一名黑客，將自己的交換機通過SWC接入到網絡中。

 　　

　　黑客可以將新接入交換機的橋優先級設置得比原根橋高，這樣只要網絡維護人員安全意識不高，網絡中合法根橋有可能會收到優先級更高的RST BPDU，使得合法根橋失去根地位，從而引起網絡拓撲結構的錯誤變動。

 

 

　　（3） 防御措施 -- 根保護

　　針對這種攻擊方式，RSTP提供可配置的根保護功能。

　　一旦啟用根保護功能的指定端口（DP）收到優先級更高的RST BPDU時，端口狀態將進入Discarding狀態，不再轉發報文。在經過一段時間，如果端口一直沒有再收到優先級較高的RST BPDU，端口會自動恢復到正常的Forwarding狀態。

　　Tips：根（root）保護只能在指定端口上配置。

 

 

 

 

　　TC-BPDU泛洪保護

　　（1）攻擊原理

　　在前面的STP筆記中提到過，當下游交換機感知到網絡拓撲發生變化時，會向上游（也就是根橋方向）發送TC-BPDU（TCN）報文，根橋收到報文后， 再統一向下游交換機發送TC報文，通知下游需要刪除當前的MAC地址表。

　　黑客可以利用這個機制，不斷向RSTP網絡中發送TC-BPDU報文，致使交換機頻繁刪除自己的MAC地址表，不僅對網絡設備造成巨大的負擔，而且增加了網絡的不穩定性。

 

　　（2）攻擊方式

　　如下圖所示，黑客通過某種手段將自己的終端設備連接到RSTP網絡中的交換機SWB的端口上。

 　　

　　黑客可以通過不斷地偽造和發送通告拓撲發生變更的TC-BPDU報文，交換機設備短時間內會收到很多TC-BPDU報文，頻繁的刪除MAC地址表的操作會給設備造成很大的負擔，給網絡的穩定帶來很多隱患。

 

 

　　（3） 防御措施 -- TC-BPDU攻擊保護

　　通過啟用防TC-BPDU報文攻擊功能，在單位時間內，可以配置RSTP進程處理TC類型的BPDU的最大次數。如果在單位時間內，RSTP進程收到TC類型的BPDU報文數量大於配置的閾值時，RSTP進程只會處理閾值指定的次數，對於其他超出閾值的TC類型BPDU報文，定時器到期后，RSTP進程只對其統一處理一次。

　　通過這種方式，可以避免頻繁的刪除MAC地址表項，從而達到保護交換機的目的。

　　Tips：缺省的單位時間是2秒，缺省的最大處理次數是3次。

 

 

　　以上介紹的就是RSTP在安全方面提供的保護功能。而具體的RSTP配置方式將會在下一節筆記繼續進行介紹。

 

 

　　RSTP快速生成樹協議筆記之(一)：STP協議的不足

 

　　https://www.cnblogs.com/zylSec/p/14651273.html

 

　　RSTP快速生成樹協議筆記之(二)：端口角色和端口狀態的改進

 

　　https://www.cnblogs.com/zylSec/p/14655908.html

 

　　RSTP快速生成樹協議之(三):RSTP對STP的改進以及數據包分析

 

　　https://www.cnblogs.com/zylSec/p/14665145.html

 

　　RSTP快速生成樹協議之(四)：RSTP的保護功能

 

　　https://www.cnblogs.com/zylSec/p/14672493.html

 

　　RSTP快速生成樹協議之(五)：RSTP配置實例與抓包分析

 

　　https://www.cnblogs.com/zylSec/p/14675264.html