чення перехоплення інформації, який при нормальному функціонуванні мережі неможливий.
Суть даної атаки з використанням STP полягає в зміні логічної структури мережі таким чином, щоб цікавить трафік йшов через станцію атакуючого. Знову звернемося до Малюнку 2. На відміну від розглянутого вище часткової відмови в обслуговуванні, уявімо, що станція зловмисника оснащена двома мережевими інтерфейсами, один з яких підключено до клієнтського сегменту, а інший - до серверного. Посилаючи відповідні BPDU, атакуючий ініціює вибори призначеного моста для обох сегментів і виграє їх. Існуючий канал між комутаторами вимикається, і весь межсегментний трафік прямує через станцію атакуючого. У разі відсутності наміри попутно влаштувати відмова в обслуговуванні для інших станцій і серверів, він повинен забезпечити пересилання трафіку. Причому якщо метою є просте прослуховування і модифікація трафіку не потрібно, то реалізація цієї функції у вигляді програмного модуля тривіальна; більше того, будь-яка ОС з підтримкою функцій моста і STP, наприклад Linux Bridge Project, представляє вже готове рішення. Звичайно, слід враховувати той факт, що зв'язок між комутаторами може здійснюватися зі швидкістю 100 Мбіт/с, а користувальницькі порти здатні працювати зі швидкістю 10 Мбіт/с - тоді міжсегментного з'єднання перетвориться на вузьке місце з неминучою втратою пакетів. Ситуація може посилитися, якщо частина трафіку необхідно якимось чином змінити - зловмисникові знадобиться більш потужна робоча станція.
На щастя, ця атака неможлива в мережі з єдиними комутатором (тоді це буде вже частковий DoS), і її реалізація тривіальна тільки в тому випадку, коли зловмисник підключений одночасно до двох сусідніх коммутаторам. Якщо ж він пов'язаний з комутаторами, між якими немає прямого з'єднання, йому доведеться підбирати, як мінімум, один ідентифікатор моста, оскільки STP-сумісні пристрої не передають далі отримані BPDU, а лише генерують на їх основі власні.
3.1.7 Спровокований сніффінг
Сніффінгом (sniffing) прийнято називати прослуховування мережевого трафіку шляхом переведення мережевого інтерфейсу в режим прийому всіх пакетів (promiscuousmode або promiscmode - «нерозбірливий» режим, в якому мережева плата lt;http://ru.wikipedia/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D0%B0%D1%8F_%D0%BF%D0%BB%D0%B0%D1%82%D0%B0gt; дозволяє приймати всі пакети незалежно від того, кому вони адресовані, можливість зазвичай використовується в мережевих lt;http://ru.wikipedia/wiki/%D0%90%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80_%D1%82%D1%80%D0%B0%D1%84%D0%B8%D0%BA%D0%B0gt; аналізаторах трафіку), а не тільки адресованих йому або широкомовних. Очевидно, що в мережі, побудованої на базі комутаторів, зловмисник не має можливості перехопити пакети, якщо вони адресовані не йому, оскільки пакет спрямовується не в усі порти (як на концентраторі), а лише в той, до якого приєднаний одержувач. Традиційно зловмисники обходили дану проблему шляхом генерації шторму пакетів з різними MAC-адресами джерела. Це призводило до переповнення таблиці комутації (де зберігаються відповідності між MAC-адресами і портами) внаслідок її кінцевого розміру і, фактично, до перекладу комутатора в режим концентратора.
Аналогічних результатів зловмисник може добитися і з використанням STP. Справа в тому, що, відповідно до специфікації, після зміни дерева STP (наприклад, після перевиборів призначеного моста) STP-сумісний пристрій повинно видалити з своєї таблиці комутації записи (за винятком статично заданих адміністратором значень), вік яких більше, ніж час, проведений в станах прослуховування і навчання. Внаслідок цього комутатор короткочасно перейде в режим концентратора, поки він не навчиться і не заповнить таблицю знову.
Уважний читач, звичайно, вже помітив слабке місце в цій теорії: комутатор навчається занадто швидко, після отримання першого ж пакета від жертви він заносить дані про адресу в таблицю комутації і перестає посилати наступні пакети на всі порти. Проте дану атаку не варто ігнорувати; це пов'язано з внесенням виробниками мережевого обладнання розширень STP в свої вироби. Відразу після виборів STP мережу недоступна. Щоб скоротити час, на портах, до яких підключені сервери і робочі станції, в комутаторах багатьох виробників (Cisco, Avaya, 3Com, HP та ін.) Введена можливість пропуску станів прослуховування і навчання, т. Е. Переходу з блокований в передає і навпаки. У різних виробників така можливість називається по-різному: наприклад, у Cisco -SpanningTreePortfast, а у 3Com - STP FastStart. Якщо даний режим включений, то постійна ініціалізація виборів призведе не до відмови в обслуговуванні, а до постійної очищенню таблиці комутації, т. Е. Перекладу комутатора в режим концентратора. Треба зауважити, що ця функція не повинна включатися на транкових портах, інакше збіжність STP (перехід в стійкое стан або припинення переви...
