Strano traffico STP nella mia rete, possibile attacco MitM?

6

Vivo in un dormitorio studentesco, in cui siamo collegati a una rete di studenti. Gli amministratori di questa rete hanno dimenticato di disabilitare la trasmissione STP su porte non infrastrutturali.

Periodicamente, ho perso la connessione di rete e ho deciso di verificare se la configurazione dell'STP potesse essere il problema.

Questo è il normale pacchetto che ricevo ogni secondo:

4   0.179081    Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 32768/0/00:d0:95:88:dc:d6  Cost = 4  Port = 0x722f

Quando si verificò l'interruzione di rete, controllai i miei log di wireshark e apparve la seguente:

3   0.597039    Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 32768/0/00:d0:95:c3:a8:68  Cost = 0  Port = 0x722f
6   1.577752    04:4b:80:80:80:03   Spanning-tree-(for-bridges)_00  STP Conf. TC + Root = 32768/0/06:4b:80:80:80:03  Cost = 0  Port = 0x8000
8   2.599098    Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 32768/0/00:d0:95:c3:a8:68  Cost = 0  Port = 0x722f
9   2.599133    04:4b:80:80:80:03   Spanning-tree-(for-bridges)_00  STP Topology Change Notification

Mentre la rete è "inattiva", il seguente pacchetto STP viene ricevuto ogni secondo:

1619    38.636743   Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 32768/0/00:d0:95:c3:a8:68  Cost = 0  Port = 0x722f

E quando la rete funziona di nuovo correttamente, ricevo quanto segue:

2932    584.778568  Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 32768/0/00:d0:95:88:dc:d6  Cost = 4  Port = 0x722f

Per pura fortuna, ho deciso di google l'indirizzo hardware 04: 4b: 80: 80: 80: 03, come sembrava un po 'strano. Risulta che ci sono molte persone che hanno problemi con i chipset nVidia che impostano questo indirizzo NIC come predefinito ...

Il mio pensiero su questo è che alcune macchine desktop stanno sperimentando attacchi STP. Questa è la prima rete STP che ho incontrato, quindi non sono sicuro di quello che sto vedendo qui, e spero che qualcuno con più informazioni di me possa aiutarmi a capire cosa sta succedendo.

Modifica:

Recentemente, i pacchetti ora sono cambiati:

58  114.145230  Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 61440/4095/ff:ff:ff:ff:ff:ff  Cost = 4  Port = 0x722f

L'ID del sistema Root Bridge è ff: ff: ff: ff: ff: ff. Questo mentre non ho interruzioni di rete. Ho provato a trovare la documentazione per quale scopo questo broadcast hw addr è annunciato come il root bridge, ma senza fortuna ...

    
posta Dog eat cat world 11.07.2011 - 19:13
fonte

2 risposte

3

Il classico protocollo dello spanning tree può richiedere fino a 30 secondi per elaborare una modifica della topologia . Durante questo stato, non è possibile inoltrare pacchetti non di topologia. Le interruzioni sono superiori a 30 secondi?

L'invio della notifica STP a tutte le porte può essere d'aiuto se qualcuno collega due volte uno switch abilitato STP. Accettarli da qualsiasi porta è problematico a causa della vulnerabilità DoS dell'STP che si sta verificando. E potrebbe rendere più facile l'avvelenamento della cache dell'arp.

I computer normali possono fungere da bridge a causa delle macchine virtuali , per consentire al guest l'accesso completo alla rete. Se ricordo male, VMware invia le notifiche STP per impostazione predefinita.

Dovresti parlare con le persone responsabili per il funzionamento della rete di studenti . Potrebbero essere in grado di modificare la configurazione per renderla più stabile (fonti di filtro, migrazione a uno dei successori di STP). E saranno in grado di isolare il proprietario di quell'indirizzo MAC, almeno la porta dello switch a cui è connessa.

    
risposta data 13.07.2011 - 22:31
fonte
2

Vado con qualcuno sta collegando un interruttore che tenta di diventare il root bridge. Non necessariamente mitm. Succede sempre nelle reti commutate mal gestite.

    
risposta data 19.07.2011 - 15:16
fonte

Leggi altre domande sui tag