Switching loops yani anahtarlama döngülerini engellemek için geliştirilmiş OSI Model’inde bulunan ikinci katman(layer 2) içerisinde bulunan bir protokol’dur.
STP barındıran switch’ler kendilerine bir root switch (kök anahtar) seçerler ayrıca her switch’in bir adet Bridge ID değeri vardır, bu değer Bridge Priority ve Bridge’nin Mac Adresi ile oluşur.
En düşük Bridge ID‘ye sahip olan Bridge, Root Bridge(Root Switch) olarak seçilir.Bridge Priority‘nin default değeri 32768’dir ve düzenlenebilir’dir.
Bu seçim BPDU aracılığıyla yapılır.Ağa BPDU üreten bilgisayar bağlanıp, bağlanan bilgisayarın ürettiği BPDU’nun içindeki Bridge Priority değeri’de 0 yapılarak, ağa bağladığımız bilgisayarın kök switch yerini almasını sağlayabiliriz.
Normal bir ddos veya dos saldırısından örnek vererek yola çıkalım gönderdiğiniz paketler genelde tcp/ip veya udp/ip olarak gider ve tüneli tıkayıp girişleri engeller.
Bu saldırıda ise tcp/ip veya udp/ip yerine BPDU Configuration paketleri kullanılıyor.
Çok sayıda giden BPDU Configuration paketleri ağı bir zaman’a kadar servis dışı bırakıyor, saldırının asıl amacı ağ içerisindeki haberleşmeyi kesmek.
Bu saldırıyı İkinci katman (layer 2) ulaşım ve aynı zamanda saldırı aracı olan Yersinia ile yapabiliriz.
Kurduğunuzu varsayarak’tan yersinia -G ile graphical arayüzünü başlatıyoruz.
Sol üstteki Launch Attack kısmın’a tıklayıp sağ taraf’tan STP‘yi seçiyoruz ve Choose Attack kısmının alt tarafından sending conf BPDUs‘ı seçiyoruz ve OK diyerek saldırıyı başlatıyoruz.Eğer En düşük Bridge ID‘sine sahip olmak istiyorsak Claiming Root Role‘u seçebiliriz.Ayrıca tüm trafiği dinlemek istiyorsak Claiming Root Role with MiTM(man in the middle)‘ı seçebiliriz..
Wireshark ile STP üzerinde giden tüm request ve response paketlerini görmemiz mümkün.
Saldırı’yı gösterdik ve sıra güvenliğimiz’de.Yukarıda öğrendiğimize göre BPDU bize çok büyük sıkıntılar çıkarıyor ve bunun içinde belli başlı komutlarımız var.
BPDU Koruması :
Switch‘te genel olarak BPDU Korumasını aktifleştirmek için :
Router#spanning-tree portfast bpduguard default
Spesifik switch portun‘da PortFast BPDU Koruması’nı etkinleştirmek için :
Router#spanning-tree bpduguard enable
BPDU Konfigurasyon’unu doğrulamak için :
Router#show spanning-tree summary totals
BPDU Filtrelemesi :
Switch‘te genel olarak PortFast BPDU Filterelemesini etkinleştirmek için :
Router#spanning-tree portfast bpdufilter default
Spesifik switch portun‘da PortFast BPDU Filtrelemesini etkinleştirmek için :
Router#spanning-tree bpdufilter enable
Komutların Konfigurasyon’unu switch’te doğrulamak için :
Router#show spanning-tree summary totals
BPDU Root Koruması :
Router#spanning-tree rootguard