Хочется остановиться на особенностях функционирования STP в сложных сетях, а особенно -- гетерогенных сетях. Расчет последствий работы атаки в таких сетях становится особенно сложным. Возьмем в качестве примера сеть, построенную с применением Ethernet технологий и ATM LANE. На рисунке 5 изображена логическая структура сети, а на рисунке 6 - ее физическая структура. До тех пор, пока мы смотрим на физическую топологию, все кажется достаточно простым. Однако, после рассмотрения логики картина значительно усложняется. Дело в том, что распространение информации о VLAN может идти и внутри одного тегируемого Ethernet линка (trunk), и внутри ATM через LANE (LAN Emulation), а маршрутизатор может играть роль моста, если на нем включена поддержка BVI (Bridging Virtual Interface). Это, кстати, является основной причиной, по которой имеет смысл поддержка STP на маршрутизаторах. Вся эта "каша" управляется, в том числе, по STP, причем количество возможных колец может исчисляться десятками за счет колец, которые могли бы образовать различные логические сущности. Основная сложность состоит в том, что STP может "разрубить" кольцо в любом месте, расчет которого в случае с сетями подобной сложности может оказаться делом нетривиальным. Очевидно, что если сети разделяются через BVI, то есть немалые шансы, что STP-DoS может распространяться поверх ATM. В любом случае ATM соединения с использованием LANE могут прозрачно передать атаку через LANE, поскольку LANE -- это своего рода прозрачная инкапсуляция фреймов Ethernet в ячейки АТМ.
Да простят нам это обобщение любители точных описаний
|
Рис.5. Пример логической структуры сети
Рис.6. Пример физической структуры сети
|
|