BPDU报文攻击的原理是啥?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BPDU报文攻击的原理是啥?相关的知识,希望对你有一定的参考价值。

要知道BPDU报文攻击的原理,那就要知道BPDU的具体功能,BPDU(Bridge Protocol Data Unit)是在网桥连接中,为了避免产生回路,而使用的,具体的协议是Spanning-Tree,就是生成树协议。在多个网桥(交换机也是网桥的一种)互联时,当一台网桥接入网络、撤出网络(可能因为损坏或断电)时,生成树需要重新计算、重新生成,而在重新生成的过程中,整个网络时不转发数据的,按照最基本的的要求,这个时间可能长达40秒,也就是说这段时间内网络是瘫痪的,当然各个厂家对此都有一定的改进,时间会缩短,起码正常工作的部分受影响会大大减小。

BPDU报文攻击时会发送BPDU报文,通知网络内的交换机,生成树发生变化,需要重新计算,这样就会造成网络暂时中断,如果这种现象出现很频繁,那么整个网络也就不可用了。

有关详细知识,去查看以下Spanning-Tree的工作原理。我这里有一份我整理的PPT文档,如果需要,可以发给你。
参考技术A 要知道BPDU报文攻击的原理,那就要知道BPDU的具体功能,BPDU(Bridge Protocol Data Unit)是在网桥连接中,为了避免产生回路,而使用的,具体的协议是Spanning-Tree,就是生成树协议。在多个网桥(交换机也是网桥的一种)互联时,当一台网桥接入网络、撤出网络(可能因为损坏或断电)时,生成树需要重新计算、重新生成,而在重新生成的过程中,整个网络时不转发数据的,按照最基本的的要求,这个时间可能长达40秒,也就是说这段时间内网络是瘫痪的,当然各个厂家对此都有一定的改进,时间会缩短,起码正常工作的部分受影响会大大减小。

BPDU报文攻击时会发送BPDU报文,通知网络内的交换机,生成树发生变化,需要重新计算,这样就会造成网络暂时中断,如果这种现象出现很频繁,那么整个网络也就不可用了。

有关详细知识,去查看以下Spanning-Tree的工作原理。我这里有一份我整理的PPT文档,如果需要,可以发给你。

BPDU报文(RSTP)

 

与STP 的BPDU报文格式相同,就是在flags字段报文中间几位得到应用

 

 

主要原理:利用flages位中的Proposal与Agreement来进行协商,从而快速从 discarding 转成 forwarding而不用等待30秒超时。

 

RSTP端口状态:

discarding

listening

learning

 

P/A协商:

交换机在启动后端口会都是转发端口,状态都是discarding,然后相互发送带porposal位的请求给对方

交换机再通过比较接收的BPDU判断选举根桥,其他交换机为防止临时环路,端口状态都是discading

根桥会发送porposal的协商请求,非根桥收到后会将端口状态变为forwarding然后回复agreement BPDU

 

维持树:

stp 中由根桥以hello time间隔时间发送 配置BPDU给其他非根桥,如果其他交换机超过 Max Age时间就会认为根桥down掉了

然后非根桥之间再重新选举出新的根桥来。

rstp 中每台非根桥都会以自己的hello time时间间隔向其他非根桥发送 BPDU,以确认树的存在

如果突然某个拓扑结构发生了改变,如一个端口down掉了,那么该交换机会向其他交换机发送

TC BPDU来清空各个交换机的MAC地址表

 

STP兼容

如果某个树结构中,两台交换机用RSTP协议,第三台使用STP协议,那么两台交换机与第三台连接的端口会向下兼容使用STP工作模式

但是两台交换机之间仍然采用RSTP协议进行通信。

 

RSTP对STP保证机制

  1.根端口保护:如果黑客用一台优先级比较高的交换机连接到树里,那么会导致整个网络的流量都被黑客

所控制,为了防止交换机的端口角色发生改变,可以在交换机里配置根保护,配置了根保护的交换机

的某个端口如果收到比现有根桥更忧的BPDU会主动把端口状态置为 discading 直到黑客的交换机撤离

 

   2.边缘端口保护:如果对交换机的某个端口设置了边缘端口,而这个边缘端口却收到了BPDU会导致

边缘端口的功能失效,甚至从边缘端口发来一些TC报文来刷新网络交换机的MAC地址攻击网络,

为了防止这一情况,可以对边缘端口做保护配置,相当于绑定边缘端口。保护后收到BPDU的边缘端口就

会直接置为 err-down (直接关闭,需要管路员手动恢复) 。因此不能再非边缘端口配置此保护

 

    3.环路保护:如果阻塞端口可以发BPDU 却一直收不到别人的BPDU,这样会导致BPDU超时,从而使得

阻塞状态转变成转发状态,从而造成树结构有转变成环形结构。因此可以在AP端口配置环路保护,配置环路

保护后AP端口如果持续收不到 BPDU 就会认为链路故障单方向故障,从而使端口状态保持 discarding

以上是关于BPDU报文攻击的原理是啥?的主要内容,如果未能解决你的问题,请参考以下文章

STP原理-路由交换原理11-HCNA笔记

浅谈bpduguard安全特性

成为“黑客”前,必学的几种网络攻击原理

中间人攻击——ARP欺骗 就是中间人攻击 利用报文欺骗并修改IP和mac地址之间的映射关系 让传送数据的地址失效

什么是MAC地址泛洪

常见的DDOS攻击