https://bugtraq.ru/library/books/stp/chapter13/

Этот абзац статьи должен был быть посвящен изготовителям червей призванных устроить DoS врагу (например chineese и его бесславному Code Red, который так и не смог сделать DoS сайту www.white-сами-знаете.gov).

В случае применения материалов данного документа устройство DoS сводится к захвату контроля хотя бы над одним из компьютеров в атакуемой сети, подключенном к ЛВС атакуемого объекта. Правда дополнительным условием становится интеллектуальность оборудования, то есть поддержка STP-протокола. Однако на момент написания этих строк (Пт Ноя 2 03:27:47 2001) большая часть известного нам сетевого оборудования, поддерживающего STP, поставлялось с включенной по умолчанию ("из коробки") поддержкой STP, что распространяет возможность использовать данную атаку на все сети с конфигурацией по умолчанию. Единственным приятным исключением были модели HP ProCurve 212М и 224M компании Hewlett Packard, но они не поддерживали VLANы, не говоря уже о раздельных STP деревьях в них.

Стоит также напомнить, что основное применение Spaning Tree -- защита от образования колец в сети, например, за счет введения запасных каналов для повышения надежности. Такая структура сети наиболее вероятна в крупных правительственных учреждениях (например, сеть американских Белого Дома и Пентагона наверняка построена с использованием избыточности). Самое интересное, что в силу наличия дублирующих каналов, администратор в некоторых случаях не сможет отказаться от использования Spaning Treе. Надо заметить, что во многих известных мне устройствах, обслуживающих сеть, Spaning Tree включался и выключался для всего устройства, так что администратор просто не имеет возможности выключить работу Spaning Tree на одном из портов, не выключая этот порт. На сегодняшний день авторам не известны устройства, которые позволяли бы выключать поддержку STP на отдельном порту, хотя, при чтении документации к коммутатору intel 460Т создается впечатление, что этот коммутатор умеет выключать поддержку STP индивидуально на каждом порту, но, скорее всего, имелся ввиду вариант с установкой порта в режим STP-blocking перманентно.

Авторы будут благодарны, если кто-либо из людей, имевших дело с этими и другими активными устройствами на практике, развеет наши сомнения по отношению к данному прибору. Кстати, мы с удовольствием внесли бы в следующую переработанную публикацию ваши конструктивные отзывы в рамках тематики этой работы.

Однако устройства некоторых производителей (например, Cisco) имеют настройки, позволяющие защититься от части STP атак. Это расширения STP "spanning-tree portfast", BPDU guard и BPDU root guard.

К числу прочих организаций, которые могут пострадать от STP-DoS, относятся провайдеры Internet с последней милей на LAN-технологии (например Ethernet). Устройства у провайдеров с большой вероятностью должны быть интеллектуальными, и, в случае богатого провайдера (или богатого клиента), они могут иметь дублирующие каналы.

Хотя для вывода оборудования из строя важна всего лишь поддержка STP, а никак не наличие дублируемых соединений. ;)

Разумеется, в случае возникновения атаки в одной из двух ЛВС, соединенным неким устройством 2-го уровня OSI (bridge, hub), или даже маршрутизатором, который поддерживает spaning tree, DoS перекинется с одной ЛВС в другую, поскольку второй уровень прозрачен для STP протокола. Сущности, обменивающиеся STP-пакетами, используют мультикастовую адресацию, которая позволяет пакетам проходить в том числе и через оборудование, которое не поддерживает STP, например через концентраторы. Помимо этого подверженными STP-атакам будут хостинговые площадки провайдеров - стоит обратить внимание на то, что для организации DoS-атаки для некоего сервера не обязательно получать контроль над компьютером, предоставляющим место именно этому информационному ресурсу - достаточно будет получить контроль над компьютером, находящимся в том же сегменте ЛВС, что и основная жертва, так, чтобы между zombie host и victim host не было маршрутизатора.

Также возможно распространение атаки через WAN-линки в случае, если оборудование настроено на частичный пропуск пакетов административных протоколов, включая STP. Сюда относится и обычное dialup-соединение. Для атаки поверх такого соединения злоумышленнику надо всего лишь изменить поведение своего модуля, осуществляющего PPP соединение, так, чтобы он запрашивал поддержку STP протокола при соединении. По умолчанию эта функциональность не запрашивается и атака невозможна, далее все зависит от настроек оборудования провайдера - если STP поднимется по запросу, DoS атака со стороны анонимного покупателя интернет карты может стать реальностью.