劉葉梅，徐龍泉

（1.遠光軟件股份有限公司，珠海 519085；2.珠海市技師學院，珠海 519015）

0 引言

生成樹協(xié)議是一種工作在數(shù)據(jù)鏈路層的通信協(xié)議，也就是OSI網(wǎng)絡模型中的第二層，它是防止交換機冗余鏈路中產(chǎn)生環(huán)路，可以確保以太網(wǎng)中無環(huán)路的邏輯拓撲結構，從而避免了廣播風暴大量占用交換機的資源［1］。生成樹協(xié)議工作原理是任意一交換機中如果到達根網(wǎng)橋有兩條或者兩條以上的鏈路，生成樹協(xié)議都根據(jù)算法僅僅保留一條，把其他切斷，從而保證任意兩個交換機之間只有一條單一的活動鏈路。因為生成的這種拓撲結構很像是以根交換機為樹干的樹形結構，故而稱為生成樹協(xié)議［2］。

1 生成樹協(xié)議（STP）操縱攻擊

為了避免第二層網(wǎng)絡中出現(xiàn)環(huán)路，交換機會使用生成樹協(xié)議來防止環(huán)路，生成樹防環(huán)的方式是通過相互發(fā)送橋協(xié)議數(shù)據(jù)單元（BPDU）來交換數(shù)據(jù)進行選舉，并且阻塞落選的端口，從而在邏輯上打斷環(huán)路。同時，為了確保管理員能夠按照自己的需求塑造第2層網(wǎng)絡，端口勝選和落選需要根據(jù)一個管理員可以進行配置的參數(shù)來決定，這就給攻擊者制造了可乘之機［3］。

圖1所示為一個由兩臺交換機（Switch1 和Switch2）組成的網(wǎng)絡，這個網(wǎng)絡本身沒有環(huán)路，PC-A 發(fā)送給PC-B 的消息當然會通過這兩臺交換機轉發(fā)過去。

圖1 一個物理上無環(huán)的簡單二層拓撲

然而，在圖2中，一位攻擊者把自己的設備同時連接到了這兩個交換機，這就在網(wǎng)絡中制造出了一個環(huán)路。同時，攻擊者給自己的設備分配了最高的優(yōu)先級（網(wǎng)橋優(yōu)先級=0），讓它能夠通過發(fā)送（偽裝的）BPDU，在選舉中成為根橋。于是，原本兩臺交換機之間的某個端口就會因為落選（成為替代端口）而被STP 阻塞。這樣一來，兩臺交換機所連的終端（PC-A 和PCB）之間如果需要進行通信，那么它們之間的所有數(shù)據(jù)都只能通過攻擊者的設備進行轉發(fā)［4］。到此為止，攻擊者通過操縱STP，在網(wǎng)絡中發(fā)起了一次中間人攻擊。

圖2 STP操縱攻擊

2 生成樹協(xié)議（STP）操縱攻擊應對安全策略

規(guī)避這類攻擊的邏輯，是需要區(qū)分哪些交換機端口可以連接交換機，或者哪些交換機的端口可以連接根橋，而哪些交換機端口只能連接終端設備，下面介紹三種具體的應對安全策略及其實現(xiàn)過程。

2.1 BPDU防護（BPDU guard）安全策略

如果管理員在全局啟用了BPDU防護，那么這臺交換機上所有配置了Portfast 的端口只要接收到BPDU，BPDU 防護特性就會立刻讓這個端口進入關閉狀態(tài)，即error-disabled 狀態(tài)［5］。如圖3所示，BPDU 防護的啟用命令是在全局配置模式下輸入命令spanning-tree bpduguard enable。Portfast 特性的作用是讓一個交換機端口繞過常規(guī)的偵聽（listening）和學習（learning）狀態(tài)，直接從阻塞（blocking）狀態(tài)過渡到轉發(fā)（forwarding）狀態(tài)。使用Portfast 可以提升端口轉發(fā)的效率，而且可以避免這些端口的狀態(tài)導致相關生成樹的參與設備全部重新計算STP 樹。這種特性只應該在那些連接終端設備的接入模式端口上使用，不能在連接交換機的中繼端口上部署。在端口配置模式下輸入命令spanning-tree portfast 可以讓一個端口執(zhí)行Portfast。另外，如果在全局配置模式下輸入命令spanning-tree portfast default則可以讓設備上所有非中繼端口執(zhí)行Portfast。

圖3 交換機啟用BPDU防護

2.2 BPDU過濾（BPDU filtering）安全策略

如果管理員并不希望采用關閉端口這樣的策略來應對（原本不應該接收到BPDU的）端口接收到BPDU 的情形，則可以在不應該接收到BPDU 的端口上使用命令spanning-tree bpdufilter enable 實施BPDU 過濾。所有在端口配置模式下配置了BPDU 過濾的端口，會忽略接收到的BPDU，同時這類端口也不再對外發(fā)送BPDU 消息，如圖4所示。BPDU 過濾也可以在全局配置模式下使用命令spanning-tree portfast bpdufilter default 啟用。配置這條命令之后，所有啟用了Portfast的端口就不會再發(fā)送BPDU。同時，一旦這些配置了Portfast 的端口接收到了BPDU，這個端口上配置的Portfast 就會失效。既然Portfast失效，這個端口上的BPDU 過濾自然也就失效了［6］。因此，在全局（針對所有啟用了Portfast 的端口）實施BPDU 過濾，和針對特定接口啟用BPDU 過濾，端口在接收到BPDU 消息時，采取的措施是不同的。

圖4 端口啟用BPDU過濾

2.3 根防護（root guard）安全策略

如果管理員并不反對用戶把自己的交換機連接到局域網(wǎng)的交換機上，只是不能允許用戶連接的交換機成為根橋，那就可以在對應端口的接口配置模式下使用命令spanning-tree guard root執(zhí)行根防護。只要配置了根防護的端口所連交換機成為根橋，這個端口就會進入阻塞狀態(tài)，這種狀態(tài)稱為不一致根（root-inconsistency）狀態(tài)，如圖5所示。顯然，這樣處理也可以防止網(wǎng)絡中發(fā)生圖2所示的攻擊。

圖5 端口啟用根防護

3 結語

本文具體介紹了BPDU 防護、BPDU 過濾和根防護這三種應對生成樹協(xié)議操縱攻擊安全策略及其實現(xiàn)過程，并采用圖示方法形象地展示了為什么會存在生成樹協(xié)議操縱攻擊、操縱攻擊是如何形成的，以及三種安全策略來緩解該類攻擊的實現(xiàn)過程。