Tweet
Trong hạ tầng mạng Layer 2, Spanning Tree Protocol (STP) được thiết kế để giải quyết một vấn đề rất quan trọng: tránh loop trong mạng có đường dự phòng. Nhờ STP, hệ thống có thể tự động vô hiệu hóa các đường dư thừa và khôi phục khi xảy ra sự cố.
Tuy nhiên, giống nhiều cơ chế mạng khác, STP cũng có thể trở thành mục tiêu khai thác nếu bị cấu hình sai hoặc không có cơ chế bảo vệ phù hợp.
1. Spanning Tree hoạt động như thế nào?
STP hoạt động dựa trên một số nguyên tắc cơ bản:
Nhờ vậy, mạng Layer 2 vẫn có dự phòng nhưng không xảy ra broadcast storm.
2. Điều gì xảy ra nếu không có Spanning Tree?
Nếu trong mạng có các đường kết nối vòng lặp mà không có STP:
Đây chính là lý do STP gần như luôn được bật trong các mạng doanh nghiệp.
3. Spanning Tree Attacks là gì?
STP sử dụng các gói tin BPDU (Bridge Protocol Data Unit) để trao đổi thông tin giữa các switch.
Kẻ tấn công có thể lợi dụng cơ chế này để: 3.1 Gây tái tính toán liên tục (STP Recalculation Attack)
Attacker gửi BPDU giả:
3.2 Giành quyền Root Bridge
Một trong những điểm yếu lớn:
Switch chọn Root Bridge dựa trên:
Attacker chỉ cần:
Khi đó attacker có thể:
3.3 Điều kiện để tấn công hiệu quả
Một số yếu tố ảnh hưởng:
4. Ví dụ tấn công DoS bằng STP
Kịch bản phổ biến:
Nếu kết hợp với:
→ attacker có thể thu được nhiều packet hơn.
5. Phòng chống Spanning Tree Attacks
5.1 BPDU Guard
Chức năng:
Cấu hình trên Cisco IOS:
spanning-tree portfast bpduguard default
Phù hợp cho:
5.2 Root Guard
Chức năng:
Cấu hình:
spanning-tree guard root
Phù hợp cho:
5.3 Tắt STP (trong một số trường hợp)
Chỉ nên làm khi:
Không khuyến nghị trong mạng doanh nghiệp.
6. Kết luận
Spanning Tree giúp bảo vệ mạng khỏi loop, nhưng nếu không cấu hình bảo mật:
Các biện pháp như BPDU Guard và Root Guard là rất quan trọng trong thiết kế mạng an toàn.
Tuy nhiên, giống nhiều cơ chế mạng khác, STP cũng có thể trở thành mục tiêu khai thác nếu bị cấu hình sai hoặc không có cơ chế bảo vệ phù hợp.
1. Spanning Tree hoạt động như thế nào?
STP hoạt động dựa trên một số nguyên tắc cơ bản:
- Một switch sẽ được bầu chọn làm Root Bridge
- Các switch khác tính toán đường đi ngắn nhất về Root
- Những đường dư thừa sẽ bị blocking để tránh loop
- Khi topology thay đổi, STP sẽ recalculate lại cây mạng
Nhờ vậy, mạng Layer 2 vẫn có dự phòng nhưng không xảy ra broadcast storm.
2. Điều gì xảy ra nếu không có Spanning Tree?
Nếu trong mạng có các đường kết nối vòng lặp mà không có STP:
- Broadcast sẽ lặp vô hạn
- MAC table bị thay đổi liên tục
- CPU switch tăng cao
- Toàn bộ mạng có thể tê liệt (Broadcast Storm)
Đây chính là lý do STP gần như luôn được bật trong các mạng doanh nghiệp.
3. Spanning Tree Attacks là gì?
STP sử dụng các gói tin BPDU (Bridge Protocol Data Unit) để trao đổi thông tin giữa các switch.
Kẻ tấn công có thể lợi dụng cơ chế này để: 3.1 Gây tái tính toán liên tục (STP Recalculation Attack)
Attacker gửi BPDU giả:
- Làm topology thay đổi liên tục
- Switch phải tính toán lại STP nhiều lần
- Gây DoS (Denial of Service) do CPU tăng cao hoặc mất ổn định mạng
3.2 Giành quyền Root Bridge
Một trong những điểm yếu lớn:
Switch chọn Root Bridge dựa trên:
- Bridge Priority
- MAC Address
Attacker chỉ cần:
- Gửi BPDU với priority thấp hơn
- Switch sẽ tin rằng attacker là Root mới
Khi đó attacker có thể:
- Quan sát lưu lượng (Sniffing)
- Thực hiện MITM
- Gây DoS
3.3 Điều kiện để tấn công hiệu quả
Một số yếu tố ảnh hưởng:
- Topology mạng
- VLAN / PVST
- Trunking
- Attacker kết nối vào nhiều switch (dual-homed)
4. Ví dụ tấn công DoS bằng STP
Kịch bản phổ biến:
- Attacker gửi BPDU với priority = 0
- Attacker trở thành Root Bridge
- STP recalculates
- Lưu lượng có thể đi qua link chậm hơn
- Hiệu năng mạng giảm mạnh
Nếu kết hợp với:
- MAC flooding (macof)
- Sniffing
→ attacker có thể thu được nhiều packet hơn.
5. Phòng chống Spanning Tree Attacks
5.1 BPDU Guard
Chức năng:
- Nếu port access nhận BPDU → shutdown port ngay lập tức
Cấu hình trên Cisco IOS:
spanning-tree portfast bpduguard default
Phù hợp cho:
- Port nối PC
- Port người dùng
5.2 Root Guard
Chức năng:
- Không cho phép switch khác trở thành Root qua port đó
Cấu hình:
spanning-tree guard root
Phù hợp cho:
- Port uplink xuống access switch
5.3 Tắt STP (trong một số trường hợp)
Chỉ nên làm khi:
- Topology đảm bảo không có loop
- Môi trường lab hoặc test
Không khuyến nghị trong mạng doanh nghiệp.
6. Kết luận
Spanning Tree giúp bảo vệ mạng khỏi loop, nhưng nếu không cấu hình bảo mật:
- Attacker có thể chiếm Root Bridge
- Gây DoS
- Thực hiện MITM
Các biện pháp như BPDU Guard và Root Guard là rất quan trọng trong thiết kế mạng an toàn.