Введение. 
Протокол STP. 
Методы атак и защиты

При построении отказоустойчивой сети необходимо предусмотреть избыточные каналы связи. Сбой в работе активного модуля активирует резервный канал, для продолжения работы сети. Для того, что бы при применении резервных каналов в сети не образовывались петли, применяется Spanning Tree Protocol (протокол STP).

В организации работы сети, большое внимание следует уделить безопасности. Поэтому необходимо изучить протокол STP, выявить возможные способы атак, использующие уязвимости STP и описать методы обнаружения атак и защиты от них.

Протокол STP

Протокол STP

Протокол STP основан на алгоритме, разработанном Радьей Перлман. Первоначальный протокол описан в стандарте IEEE 802.1d и относится ко второму уровню модели OSI. Он автоматически удаляет петли коммутации из топологии сети в Ethernet. Позже появились несколько новых протоколов отличающихся разными особенностями, но в целом решающих ту же задачу, теми же способами. Все их принято называть STP протоколами.

Для своей работы протокол строит граф, создание которого начинается с корня (root). Каждое STP-совместимое (это могут быть коммутаторы, маршрутизаторы или другое оборудование, так как в терминах STP такие устройства называются мостами дальше мы будем использовать этот термин) устройство при включении считает себя корнем. При этом оно посылает специальные блоки данных — Bridge Protocol Data Units (BPDU) с периодичностью раз в 2 секунды. Получив BPDU от другого устройства, мост сравнивает полученные параметры со своими. Если BPDU получен от моста с меньшим Bridge ID то он перестаёт передавать информацию о том, что он корневой и начинает ретранслировать BPDU от моста с меньшим Bridge ID. Таким образом в конечном итоге только один мост остаётся корневым и продолжает передавать BPDU. Остальные мосты ретранслируют BPDU корневого моста, добавляя в них свой идентификатор и увеличивая счётчик стоимости пути. После этого, для каждого моста, отличного от корневого, просчитывается кратчайший путь к коневому. Учитывается количество посредников и скорость линий. Соответствующий порт назначается корневым портом (Root Port). Все прочие сетевые порты, ведущие к корневому мосту блокируются. Корневой порт на мосте может быть только один. После этого, для каждого сегмента сети, рассчитывается кратчайший путь до корневого моста. Мост, через который проходит этот путь называется назначенным мостом (Designated Bridge) а его соответствующий порт — назначенным портом (Designated port).

Так как BPDU — это основная единица обмена информации в протоколе STP, следует рассмотреть его подробнее.

Пакет BPDU состоит из большого количества полей, рассмотрим важнейшие из них:

• · Идентификатор моста (Bridge Identifier — BID). Состоит из MAC адреса и приоритета, описывает мост, через который прошёл пакет BPDU. Имеет размер 8 байт.
• · Идентификатор корневого моста (Root Bridge Identifier — RBID). То же самое что и BID, только характеризует корневой мост и передаётся неизменным в отдельном поле пакета BPDU.
• · Расстояние до корня (Root Patch Cost — RPC). В этом поле описывается расстояние до корневого моста в условных единицах по конкретному пути.
• · Время жизни (Message Age). Служит для выявления устаревших пакетов. Корневой мост выпускает пакет BPDU со временем жизни равным нулю. Каждый мост передающий BDPU дальше увеличивает время жизни на единицу.
• · Максимальное время жизни сообщения (Max Age). Если пакет BPDU имеет время жизни превышающее этот параметр, то пакет игнорируется.
• · Время приветствия (Hello Time). Временной интервал, через который посылаются пакеты BPDU.