борів) не гарантована. На щастя, для успішної реалізації описаної атаки, зловмисникові треба домагатися очищення таблиці комутації, принаймні, вдвічі частіше, ніж приходять цікавлять його пакети, а на практиці це найчастіше неможливо.
Приховати трафіку (а саме цю мету ставлять перед собою дві останні атаки) в мережі на базі комутаторів можливо здійснити і за допомогою широко відомої технології arp-poisoning, суть якої полягає в дистанційній модифікації ( отруєнні ) таблиць arpжертв шляхом посилки помилкових пакетів arp-reply. У результаті обидва учасники з'єднання вважають, що IP-адресою кореспондента відповідає MAC-адресу зловмисника, і останній може переглядати весь трафік між ними. Втім, дана атака ефективна лише для перехоплення IP-трафіку і тільки між двома IP-адресами. Атака ж з використанням STP дозволяє перехоплювати весь трафік, так як здійснюється на канальному рівні OSI і змінює маршрут руху всіх кадрів, несучих різні протоколи (IPX, NETBEUI), а не тільки IP.
3.2 Інші можливі атаки
.2.1 Атака STP на сусідню VLAN з власної VLAN
У числі неперевірених, але потенційно можливих атак варто відзначити - атаку STP на сусідню VLAN з власної VLAN.
Згідно 802.1Q, міст з підтримкою VLAN може по даному каналі приймати або всі кадри, або тільки кадри з виставленими відповідними тегами. Оскільки в мережах з VLAN на транкових портах STP передаватиметься в кадрах з виставленими тегами, то атакувати VLAN можливо шляхом відправки пакетів STP в кадрах з виставленими тегами порту, на якому не передбачена підтримка тегів. У 802.1Q передбачена можливість фільтрації таких кадрів в залежності від налаштувань моста. Наприклад, устаткування Cisco відкидає кадри з виставленими тегами на що не підтримують теги портах, принаймні, користувальницькі, що ставить можливість даної атаки під сумнів.
Варто відзначити, що використовувані для з'єднання мереж канали глобальної мережі уразливі до атак STP. Це явно вказується в специфікації BCP, де декларується підтримка STP поверх каналів PPP глобальній мережі. Несподіваним наслідком цього може стати атака на мережу провайдера Internet через звичайне коммутируемое підключення. Згідно RFC +2878, де описується BCP, для підтримки STP на каналі PPP вона повинна бути запрошені обома сторонами, чого зазвичай не відбувається. Проте підтримка STP включена, наприклад, на більшості маршрутизаторів Cisco, як мінімум, на тих з них, які вміють організовувати віртуальні інтерфейси в групи мостів (bridgegroup).
ВопісанііGenericAttributeRegistrationProtocol (GARP) зазначається, чтоSTP - окремий випадок GARP. Частина атак здійсненна і проти GARP взагалі, і GenericVlanRegistration Protocol (GVRP) зокрема. Даний факт дозволяє стверджувати, що VLAN не можна використовувати в якості єдиного засобу захисту в мережах. Власне, стандарт 802.1Q - логічне продовження 802.1D, але при цьому не вільний від тих же недоліків.
Які ж мережі є уразливими до атак з використанням STP? Відповідь невтішний: все, що підтримують стандарт 802.1D і, з деякими обмеженнями, 802.1Q. Причому якщо для деяких продуктів використання STP треба явно дозволити при конфігуруванні, то інші, і таких більшість, поставляються з включеним STP з коробки .
3.2.2 Отримання додаткової інформації про мережу за допомогою STP
За допомогою STP можливе отримання додаткових даних про структуру мережі. При цьому таке отримання додаткових знань може бути як пасивним (прослуховування середовища передачі даних), так і активним - вигравши на короткий час статус STP кореня ми автоматично стаємо метою відправки STP TCN-BPDU, які самі по собі несуть деякий обсяг пізнавальної інформації. Наприклад, проаналізувавши source MAC адреса, можна зрозуміти пристрій якої фірми відправило цей пакет, а це теж атака, хоч і пасивна.
3.3 Способи виявлення атак і захисту від них
Основна складність виявлення атак проти STP полягає в тому, що для атаки використовуються стандартні пакети протоколу - C-BPDU, т. е. сам по собі факт наявності в мережі пакетів STP не може беззастережно означати атаку.
Інша складність полягає в тому, що система виявлення атак (IntrusionDetectionSystem, IDS) повинна володіти якимись емпіричними даними про архітектуру мережі і входять до неї пристроях (зокрема, переліком усіх ідентифікаторів мостів), в іншому випадку вона не зможе відрізнити пакети зловмисника від звичайного трафіку STP.
Крім того, оскільки атаці піддається топологія і працездатність мережі, IDS повинна мати власний незалежний канал для передачі повідомлень відповідальному за безпеку. Вони можуть передаватися через модем або підключений до IDS мобіль...
