生成樹協(xié)議操縱攻擊及其應(yīng)對(duì)安全策略研究與實(shí)現(xiàn)

劉葉梅，徐龍泉

（1.遠(yuǎn)光軟件股份有限公司，珠海 519085；2.珠海市技師學(xué)院，珠海 519015）

0 引言

生成樹協(xié)議是一種工作在數(shù)據(jù)鏈路層的通信協(xié)議，也就是OSI網(wǎng)絡(luò)模型中的第二層，它是防止交換機(jī)冗余鏈路中產(chǎn)生環(huán)路，可以確保以太網(wǎng)中無環(huán)路的邏輯拓?fù)浣Y(jié)構(gòu)，從而避免了廣播風(fēng)暴大量占用交換機(jī)的資源［1］。生成樹協(xié)議工作原理是任意一交換機(jī)中如果到達(dá)根網(wǎng)橋有兩條或者兩條以上的鏈路，生成樹協(xié)議都根據(jù)算法僅僅保留一條，把其他切斷，從而保證任意兩個(gè)交換機(jī)之間只有一條單一的活動(dòng)鏈路。因?yàn)樯傻倪@種拓?fù)浣Y(jié)構(gòu)很像是以根交換機(jī)為樹干的樹形結(jié)構(gòu)，故而稱為生成樹協(xié)議［2］。

1 生成樹協(xié)議（STP）操縱攻擊

為了避免第二層網(wǎng)絡(luò)中出現(xiàn)環(huán)路，交換機(jī)會(huì)使用生成樹協(xié)議來防止環(huán)路，生成樹防環(huán)的方式是通過相互發(fā)送橋協(xié)議數(shù)據(jù)單元（BPDU）來交換數(shù)據(jù)進(jìn)行選舉，并且阻塞落選的端口，從而在邏輯上打斷環(huán)路。同時(shí)，為了確保管理員能夠按照自己的需求塑造第2層網(wǎng)絡(luò)，端口勝選和落選需要根據(jù)一個(gè)管理員可以進(jìn)行配置的參數(shù)來決定，這就給攻擊者制造了可乘之機(jī)［3］。

圖1所示為一個(gè)由兩臺(tái)交換機(jī)（Switch1 和Switch2）組成的網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)本身沒有環(huán)路，PC-A 發(fā)送給PC-B 的消息當(dāng)然會(huì)通過這兩臺(tái)交換機(jī)轉(zhuǎn)發(fā)過去。

圖1 一個(gè)物理上無環(huán)的簡單二層拓?fù)?/p>

然而，在圖2中，一位攻擊者把自己的設(shè)備同時(shí)連接到了這兩個(gè)交換機(jī)，這就在網(wǎng)絡(luò)中制造出了一個(gè)環(huán)路。同時(shí)，攻擊者給自己的設(shè)備分配了最高的優(yōu)先級(jí)（網(wǎng)橋優(yōu)先級(jí)=0），讓它能夠通過發(fā)送（偽裝的）BPDU，在選舉中成為根橋。于是，原本兩臺(tái)交換機(jī)之間的某個(gè)端口就會(huì)因?yàn)槁溥x（成為替代端口）而被STP 阻塞。這樣一來，兩臺(tái)交換機(jī)所連的終端（PC-A 和PCB）之間如果需要進(jìn)行通信，那么它們之間的所有數(shù)據(jù)都只能通過攻擊者的設(shè)備進(jìn)行轉(zhuǎn)發(fā)［4］。到此為止，攻擊者通過操縱STP，在網(wǎng)絡(luò)中發(fā)起了一次中間人攻擊。

圖2 STP操縱攻擊

2 生成樹協(xié)議（STP）操縱攻擊應(yīng)對(duì)安全策略

規(guī)避這類攻擊的邏輯，是需要區(qū)分哪些交換機(jī)端口可以連接交換機(jī)，或者哪些交換機(jī)的端口可以連接根橋，而哪些交換機(jī)端口只能連接終端設(shè)備，下面介紹三種具體的應(yīng)對(duì)安全策略及其實(shí)現(xiàn)過程。

2.1 BPDU防護(hù)（BPDU guard）安全策略

如果管理員在全局啟用了BPDU防護(hù)，那么這臺(tái)交換機(jī)上所有配置了Portfast 的端口只要接收到BPDU，BPDU 防護(hù)特性就會(huì)立刻讓這個(gè)端口進(jìn)入關(guān)閉狀態(tài)，即error-disabled 狀態(tài)［5］。如圖3所示，BPDU 防護(hù)的啟用命令是在全局配置模式下輸入命令spanning-tree bpduguard enable。Portfast 特性的作用是讓一個(gè)交換機(jī)端口繞過常規(guī)的偵聽（listening）和學(xué)習(xí)（learning）狀態(tài)，直接從阻塞（blocking）狀態(tài)過渡到轉(zhuǎn)發(fā)（forwarding）狀態(tài)。使用Portfast 可以提升端口轉(zhuǎn)發(fā)的效率，而且可以避免這些端口的狀態(tài)導(dǎo)致相關(guān)生成樹的參與設(shè)備全部重新計(jì)算STP 樹。這種特性只應(yīng)該在那些連接終端設(shè)備的接入模式端口上使用，不能在連接交換機(jī)的中繼端口上部署。在端口配置模式下輸入命令spanning-tree portfast 可以讓一個(gè)端口執(zhí)行Portfast。另外，如果在全局配置模式下輸入命令spanning-tree portfast default則可以讓設(shè)備上所有非中繼端口執(zhí)行Portfast。

圖3 交換機(jī)啟用BPDU防護(hù)

2.2 BPDU過濾（BPDU filtering）安全策略

如果管理員并不希望采用關(guān)閉端口這樣的策略來應(yīng)對(duì)（原本不應(yīng)該接收到BPDU的）端口接收到BPDU 的情形，則可以在不應(yīng)該接收到BPDU 的端口上使用命令spanning-tree bpdufilter enable 實(shí)施BPDU 過濾。所有在端口配置模式下配置了BPDU 過濾的端口，會(huì)忽略接收到的BPDU，同時(shí)這類端口也不再對(duì)外發(fā)送BPDU 消息，如圖4所示。BPDU 過濾也可以在全局配置模式下使用命令spanning-tree portfast bpdufilter default 啟用。配置這條命令之后，所有啟用了Portfast的端口就不會(huì)再發(fā)送BPDU。同時(shí)，一旦這些配置了Portfast 的端口接收到了BPDU，這個(gè)端口上配置的Portfast 就會(huì)失效。既然Portfast失效，這個(gè)端口上的BPDU 過濾自然也就失效了［6］。因此，在全局（針對(duì)所有啟用了Portfast 的端口）實(shí)施BPDU 過濾，和針對(duì)特定接口啟用BPDU 過濾，端口在接收到BPDU 消息時(shí)，采取的措施是不同的。

圖4 端口啟用BPDU過濾

2.3 根防護(hù)（root guard）安全策略

如果管理員并不反對(duì)用戶把自己的交換機(jī)連接到局域網(wǎng)的交換機(jī)上，只是不能允許用戶連接的交換機(jī)成為根橋，那就可以在對(duì)應(yīng)端口的接口配置模式下使用命令spanning-tree guard root執(zhí)行根防護(hù)。只要配置了根防護(hù)的端口所連交換機(jī)成為根橋，這個(gè)端口就會(huì)進(jìn)入阻塞狀態(tài)，這種狀態(tài)稱為不一致根（root-inconsistency）狀態(tài)，如圖5所示。顯然，這樣處理也可以防止網(wǎng)絡(luò)中發(fā)生圖2所示的攻擊。

圖5 端口啟用根防護(hù)

3 結(jié)語

本文具體介紹了BPDU 防護(hù)、BPDU 過濾和根防護(hù)這三種應(yīng)對(duì)生成樹協(xié)議操縱攻擊安全策略及其實(shí)現(xiàn)過程，并采用圖示方法形象地展示了為什么會(huì)存在生成樹協(xié)議操縱攻擊、操縱攻擊是如何形成的，以及三種安全策略來緩解該類攻擊的實(shí)現(xiàn)過程。