STP Attack
1 Qu’est-ce que STP (Spanning Tree Protocol) ? :
Spanning Tree Protocol (STP) est un protocole réseau qui empêche les boucles dans la topologie du réseau en
désactivant les chemins redondants et en déterminant le chemin le plus court vers le pont racine. Cela se fait en
choisissant un pont racine et en calculant le chemin le plus court pour y accéder, en utilisant des facteurs tels
que le coût et la priorité du port. Le protocole Spanning Tree est un protocole critique dans l’infrastructure
réseau.
2 Méthodes d’attaque ”Spanning Tree Protocol” :
Figure 1: STP Attack Diagram
Les attaques STP (Spanning Tree Protocol) exploitent les vulnérabilités du protocole pour créer des boucles
réseau ou faire tomber le réseau. Les attaquants peuvent utiliser diverses méthodes, telles que l’envoi d’unités
de données de protocole de pont (BPDU) malveillantes, pour interférer avec les calculs STP et forcer le réseau
à utiliser un chemin sous-optimal ou même à créer une boucle. Les attaques STP peuvent provoquer une
congestion du réseau, des tempêtes de diffusion et même des pannes de réseau, ce qui peut avoir de graves
conséquences pour les organisations.
1
�3 méthodes pour empêcher l’attaque ”STP” :
Pour prévenir les attaques STP, les administrateurs réseau doivent désactiver les ports de commutateur inutilisés,
activer la sécurité des ports et utiliser des protections BPDU et des protections racine.
3.0.1 BPDU guard and root guard :
Figure 2: BPDU Guard
a) BPDU Guard améliore la sécurité du réseau en empêchant les unités de données de protocole de pont
(BPDU) inattendues de provoquer des problèmes dans la topologie Spanning Tree.
- Lorsqu’il est activé sur un port de commutateur, BPDU Guard déplace les ports sans agrégation dans
un état errdisable s’ils reçoivent des BPDU. Cela garantit que les ports non partagés (généralement les ports
périphériques) ne participent pas au processus Spanning Tree.
2
� Figure 3: Root Guard
b) Root Guard empêche un commutateur d’accepter un autre commutateur comme pont racine. Cela
garantit que la position du pont radiculaire reste prédéterminée.
- Si un commutateur envoie soudainement un BPDU avec un ID de pont supérieur, Root Guard empêche ce
commutateur de devenir le pont racine.
3.1 Simulation d’attaque :
3.1.1 Attaque 1 du protocole Spanning Tree : (STP Man in the Middle)
- Ce faisant, l’attaquant déclare son appareil comme pont racine du réseau, tout le trafic de couche 2 le traverse.
Étant donné que les ordinateurs normaux ne sont généralement pas à la hauteur de la charge, une panne du
système n’est pas improbable. Par conséquent, vous devez aborder cette attaque avec prudence.
Dans le menu d’attaque de Yersinia, choisissez l’option 4 : ”Réclamez le rôle root”. Yersinia émule l’arrivée
d’un nouveau périphérique de couche 2 sur le réseau et négocie le pont racine en conséquence. Avec les grands
réseaux, il existe une forte probabilité que l’ordinateur tombe en panne. Si l’appareil attaquant tombe en panne,
un DoS est déclenché, car l’attaquant représente le pont racine, qui n’est alors plus disponible.
- Avant de commencer l’attaque nous avons DIS-SW-1 qui est le ROOT BRIDGE, donc quand nous lançons
l’attaque, switch 2 (ACCESS-SW ) sera le ROOT BRIDGE au lieu de DIS-SW-1 :
3
� Figure 4: Info about STP in ACCESS-SW2
Figure 5: Info about STP in DIS-SW1
- après avoir lancé l’attaque, nous pouvons voir le trafic provenant de l’attaquant utilisant Wireshark, qui
cible le commutateur 2 du VLAN 20 :
Figure 6: STP frames in Wireshark
4
� Figure 7: Other information contained in BPDU frames
- maintenant nous pouvons voir que l’attaque a été simulée avec succès et maintenant le switch 2 est le
ROOT BRIDGE au lieu du DIS-SW :
Figure 8: Info about STP in ACCESS-SW2
Figure 9: Info about STP in DIS-SW1
5
�3.1.2 Attaque 2 du protocole Spanning Tree : (déni de service STP)
- les attaquants peuvent utiliser le STP pour provoquer un déni de service dans le réseau. Pour ce faire,
l’attaquant envoie des paquets de reconfiguration à commutateur 2. L’attaquant peut utiliser différentes trames
pour provoquer un déni de service.
- Nous utilisons l’outil Yersiniato pour effectuer cette attaque.
Figure 10: Root Guard
a- Conf BPDU Denial of Service Attack :
- Dans le menu Attaque de Yersinia, les attaques marquées d’un x sont des attaques DoS. Tant qu’un
attaquant exécute le DoS via Yersinia, les autres appareils ne peuvent plus communiquer car il est demandé à
plusieurs reprises au commutateur de redémarrer le processus STP. Le pont racine est constamment renégocié,
ce qui génère beaucoup de trafic.
Figure 11: In Yersinia you have to select the appropriate interface through which the traffic will pass.
6
� Figure 12: Attack panel with possible STP attacks. For the rest of the process we choose option 2.
- Le nombre de paquets STP envoyés suggère que le commutateur est déjà tombé en panne.
- Si vous regardez l’attaque dans Wireshark, vous pouvez voir sur ConfCT que Yersinia manipule les entrées.
Cela inclut la priorité du pont racine, l’extension Bridge System ID et autres.
- Extrait de Wireshark avant de manipuler les entrées :
7
� - Si vous comparez les deux extraits, vous remarquerez que les valeurs de priorité du pont racine, d’extension
de l’ID du système de pont et autres ont changé. Cela est dû à l’intervention de Yersinia :
b- TCN DOS (Topology Change Notification) :
- Yersinia continue d’envoyer de nouvelles notifications de changement de topologie au pont racine et en
générant des paquets TCN, la bande passante entre les commutateurs est réglée au maximum (congestion du
trafic) :
8
� - maintenant, quand nous voulons voir l’effet de l’attaque DoS, nous pouvons taper dans la console du switch
(la cible) ”showprocess cpu” et nous verrons que l’attaque consomme les performances du switch :
4 Mesures préventives : BPDU-Guard protège votre réseau contre
les attaques du protocole Spanning Tree
- Pour détecter et prévenir les attaques de protocole Spanning Tree de type man-in-the-middle ou par déni de
service, nous vous recommandons d’utiliser la fonction ”BPDU Guard” sur les ports dits d’accès/Edge Switch.
Une fois la configuration terminée, les ports de commutation qui reçoivent une BPDU d’un client connecté
sont désactivés et la BPDU est ignorée afin qu’aucune reconfiguration ne soit transmise au réseau.
Si la fonctionnalité n’est pas activée, un BPDU correctement conçu peut amener le périphérique attaquant
9
�à devenir le pont racine d’un réseau, redirigeant le trafic. Cela permet des attaques de l’homme du milieu.
Les BPDU amènent tous les commutateurs d’un réseau à renégocier la structure du spanning tree. Pendant
cette période, aucun autre paquet ne sera transmis et le réseau ne fonctionnera pas. Les attaquants peuvent
maintenir cet état en envoyant constamment des BPDU.
4.1 Activer BPDU-Guard :
- après avoir configuré le commutateur avec la sécurité du port, le mode d’accès et BPDU-Guard, nous
devons nous assurer que le commutateur n’est pas vulnérable aux attaques DoS et MITM :
10
�- donc maintenant, le commutateur est sécurisé contre l’attaque STP.
11
