Tweet
Ngay cả khi STP đã bật, mạng của bạn vẫn có thể bị tấn công?
Đúng vậy, Spanning Tree Protocol vốn được sinh ra để ngăn vòng lặp, nhưng nếu không có lớp bảo vệ, hacker hoàn toàn có thể lợi dụng cơ chế bầu chọn root bridge để biến mình thành "trung tâm mạng giả mạo". Khi đó, toàn bộ traffic có thể đi xuyên qua thiết bị của kẻ tấn công — mở đường cho Man-in-the-Middle (MITM), phá vỡ tính bảo mật, toàn vẹn, và khả dụng của hệ thống.
Vấn đề: Hacker trở thành Root Bridge
Trong STP, root bridge được chọn dựa trên Bridge ID thấp nhất. Hacker có thể gửi BPDU giả mạo với priority thấp hơn, “cướp” quyền root bridge. Khi đó:
Giải pháp: Root Guard
Cisco cung cấp tính năng Root Guard để bảo vệ vị trí root bridge thật sự trong mạng.
📌 Bạn cấu hình bằng lệnh:
Switch(config-if)# spanning-tree guard root
💡 Triển khai Root Guard ở những port kết nối đến switch access hoặc switch dự phòng — những nơi chắc chắn không bao giờ được làm root bridge.
Ví dụ thực tế
Giả sử bạn có một core switch làm root bridge “chuẩn” cho toàn bộ mạng. Một nhân viên cắm laptop với phần mềm giả mạo BPDU vào access switch.
Câu hỏi ôn tập
👉 Mục đích của tính năng Root Guard trên switch Cisco là gì?
Anh em CCNA/CCNP chắc hẳn thấy rõ, Root Guard không thay thế STP, mà nó giống như một “người gác cổng” để đảm bảo root bridge luôn nằm đúng vị trí do ta thiết kế.
Đúng vậy, Spanning Tree Protocol vốn được sinh ra để ngăn vòng lặp, nhưng nếu không có lớp bảo vệ, hacker hoàn toàn có thể lợi dụng cơ chế bầu chọn root bridge để biến mình thành "trung tâm mạng giả mạo". Khi đó, toàn bộ traffic có thể đi xuyên qua thiết bị của kẻ tấn công — mở đường cho Man-in-the-Middle (MITM), phá vỡ tính bảo mật, toàn vẹn, và khả dụng của hệ thống.
Vấn đề: Hacker trở thành Root Bridge
Trong STP, root bridge được chọn dựa trên Bridge ID thấp nhất. Hacker có thể gửi BPDU giả mạo với priority thấp hơn, “cướp” quyền root bridge. Khi đó:
- Mọi switch khác sẽ xem kẻ tấn công là root bridge hợp lệ.
- Toàn bộ luồng dữ liệu đi qua thiết bị của hacker.
- Hacker có thể sniff, chỉnh sửa, hoặc làm gián đoạn traffic.
Giải pháp: Root Guard
Cisco cung cấp tính năng Root Guard để bảo vệ vị trí root bridge thật sự trong mạng.
- Khi bật Root Guard trên một port, port này sẽ từ chối bất kỳ BPDU nào có priority tốt hơn root hiện tại.
- Nếu phát hiện BPDU “nguy hiểm”, port đó sẽ chuyển sang trạng thái root-inconsistent (giống trạng thái listening, không forward traffic).
- Khi kẻ tấn công ngừng gửi BPDU giả, port sẽ tự động hồi phục.
📌 Bạn cấu hình bằng lệnh:
Switch(config-if)# spanning-tree guard root
💡 Triển khai Root Guard ở những port kết nối đến switch access hoặc switch dự phòng — những nơi chắc chắn không bao giờ được làm root bridge.
Ví dụ thực tế
Giả sử bạn có một core switch làm root bridge “chuẩn” cho toàn bộ mạng. Một nhân viên cắm laptop với phần mềm giả mạo BPDU vào access switch.
- Nếu không có Root Guard: laptop đó trở thành root bridge → toàn mạng đi vòng qua laptop (!).
- Nếu có Root Guard: port laptop đó sẽ bị root-inconsistent, traffic vẫn an toàn và root bridge thật không bị thay đổi.
Câu hỏi ôn tập
👉 Mục đích của tính năng Root Guard trên switch Cisco là gì?
- Nó ngăn không cho thiết bị trở thành root bridge trên những cổng đã cấu hình. ✅
- Nó cho phép port chuyển ngay lập tức sang trạng thái forwarding.
- Nếu nhận BPDU, nó sẽ “errdisable” port.
- Nó giảm thời gian hội tụ của spanning tree.
Anh em CCNA/CCNP chắc hẳn thấy rõ, Root Guard không thay thế STP, mà nó giống như một “người gác cổng” để đảm bảo root bridge luôn nằm đúng vị trí do ta thiết kế.
Attached Files