web-dev-qa-db-ja.com

奇妙なSTPネットワーク内のトラフィック、MitM攻撃の可能性?

私は学生寮に住んでおり、学生ネットワークに接続しています。このネットワークの管理者は、非インフラストラクチャポートでSTPブロードキャストを無効にすることを忘れています。

定期的にネットワーク接続が失われ、STP構成に問題があるかどうかを確認することにしました。

これは私が毎秒受け取る通常のパケットです:

4   0.179081    Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 32768/0/00:d0:95:88:dc:d6  Cost = 4  Port = 0x722f

ネットワーク障害が発生したときに、wiresharkログを確認したところ、次のように表示されました。

3   0.597039    Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 32768/0/00:d0:95:c3:a8:68  Cost = 0  Port = 0x722f
6   1.577752    04:4b:80:80:80:03   Spanning-tree-(for-bridges)_00  STP Conf. TC + Root = 32768/0/06:4b:80:80:80:03  Cost = 0  Port = 0x8000
8   2.599098    Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 32768/0/00:d0:95:c3:a8:68  Cost = 0  Port = 0x722f
9   2.599133    04:4b:80:80:80:03   Spanning-tree-(for-bridges)_00  STP Topology Change Notification

ネットワークが「ダウン」している間、次のSTPパケットが毎秒受信されます:

1619    38.636743   Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 32768/0/00:d0:95:c3:a8:68  Cost = 0  Port = 0x722f

そして、ネットワークが再び正常に機能しているとき、私は以下を受け取ります:

2932    584.778568  Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 32768/0/00:d0:95:88:dc:d6  Cost = 4  Port = 0x722f

不運なことに、私は google ハードウェアアドレス04:4b:80:80:80:03に決めました。これを設定したnVidiaチップセットに問題がある多くの人がいることがわかりますNICアドレスをデフォルトに...

これについての私の考えは、一部のデスクトップマシンがSTP攻撃を実験していることです。これは私が遭遇した最初のSTPネットワークなので、確信がありませんここで私が見ているもの、そして私よりも洞察力のある人が私が何が起こっているのかを理解するのに役立つことを願っています。

編集:

最近、パケットが変更されました:

58  114.145230  Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 61440/4095/ff:ff:ff:ff:ff:ff  Cost = 4  Port = 0x722f

ルートブリッジシステムIDはff:ff:ff:ff:ff:ffです。これは、ネットワークが停止していない間です。このブロードキャストハードウェアアドレスがルートブリッジとしてアナウンスされた目的のドキュメントを見つけようとしましたが、うまくいきません...

6

従来のスパニングツリープロトコルは、最大でトポロジ変更を処理するために30秒かかります。この状態の間、トポロジー以外のパケットは転送できません。停止は30秒より長いですか?

STP有効なスイッチを2回接続した場合、すべてのポートにSTP通知を送信すると役立つ場合があります。STP =経験していることで、arpキャッシュポイズニングが容易になる可能性があります。

通常のコンピュータは、ゲストに完全なネットワークアクセスを許可する仮想マシンのため、ブリッジとして機能する場合があります。私が正しく覚えている場合、VMwareはデフォルトでSTP通知を送信します。

あなたは学生のネットワークを運営する責任のある人々と話すです。構成を変更してより安定させることができる場合があります(ソースのフィルター、STPの後継の1つへの移行)。そして、そのMACアドレスの所有者、少なくとも接続先のスイッチポートを分離することができます。

3

私は誰かがルートブリッジになろうとするスイッチを接続しているところに行きます。必ずしもミットではありません。管理が不十分なスイッチドネットワークでは常に発生します。

2
RobotHumans