¿Tráfico STP extraño en mi red, posible ataque MitM?

6

Vivo en un dormitorio de estudiantes, donde estamos conectados a una red de estudiantes. Los administradores de esta red han olvidado desactivar la transmisión STP en puertos que no son de infraestructura.

Periódicamente, pierdo mi conexión de red y decidí ver si la configuración de STP podría ser el problema.

Este es el paquete normal que recibo cada segundo:

4   0.179081    Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 32768/0/00:d0:95:88:dc:d6  Cost = 4  Port = 0x722f

Cuando ocurrió la interrupción de la red, revisé mis registros de wirehark y apareció lo siguiente:

3   0.597039    Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 32768/0/00:d0:95:c3:a8:68  Cost = 0  Port = 0x722f
6   1.577752    04:4b:80:80:80:03   Spanning-tree-(for-bridges)_00  STP Conf. TC + Root = 32768/0/06:4b:80:80:80:03  Cost = 0  Port = 0x8000
8   2.599098    Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 32768/0/00:d0:95:c3:a8:68  Cost = 0  Port = 0x722f
9   2.599133    04:4b:80:80:80:03   Spanning-tree-(for-bridges)_00  STP Topology Change Notification

Mientras la red está "inactiva", se recibe el siguiente paquete STP cada segundo:

1619    38.636743   Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 32768/0/00:d0:95:c3:a8:68  Cost = 0  Port = 0x722f

Y cuando la red vuelve a funcionar correctamente, recibo lo siguiente:

2932    584.778568  Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 32768/0/00:d0:95:88:dc:d6  Cost = 4  Port = 0x722f

Por extraña suerte, decidí google la dirección de hardware 04: 4b: 80: 80: 80: 03, ya que parecía un poco extraño. Resulta que hay muchas personas que tienen problemas con los conjuntos de chips nVidia que configuran esta dirección de NIC como predeterminada ...

Lo que pienso de esto es que algunas máquinas de escritorio están experimentando con ataques STP. Esta es la primera red de STP que he encontrado, por lo que no estoy seguro de lo que estoy viendo aquí, y espero que alguien con más información que yo pueda ayudarme a entender lo que está sucediendo.

Editar:

Recientemente, los paquetes ahora han cambiado:

58  114.145230  Alcatel-_c3:a8:91   Spanning-tree-(for-bridges)_00  STP Conf. Root = 61440/4095/ff:ff:ff:ff:ff:ff  Cost = 4  Port = 0x722f

El ID del sistema de Root Bridge es ff: ff: ff: ff: ff: ff. Esto es mientras no tengo ningún corte de red. He intentado encontrar la documentación para qué propósito se anuncia esta transmisión hw addr como el puente raíz, pero sin suerte ...

    
pregunta Dog eat cat world 11.07.2011 - 19:13
fuente

2 respuestas

3

El protocolo clásico de árbol de expansión puede tardar hasta 30 segundos en procesar un cambio de topología . Durante este estado, no se pueden reenviar paquetes que no sean de topología. ¿Las interrupciones duran más de 30 segundos?

El envío de notificaciones STP a todos los puertos puede ayudar si alguien conecta dos veces un conmutador habilitado para STP. Aceptarlos desde cualquier puerto es problemático debido a la vulnerabilidad DoS del STP que está experimentando. Y podría hacer que el arp cache envenenamiento sea más fácil.

Las computadoras normales pueden actuar como un puente debido a las máquinas virtuales , para permitir al invitado acceso completo a la red. Si recuerdo correctamente, VMware envía notificaciones de STP de forma predeterminada.

Debe hablar con las personas responsables de operar la red de estudiantes . Es posible que puedan cambiar la configuración para hacerla más estable (filtrar las fuentes, migrar a uno de los sucesores de STP). Y podrán aislar al propietario de esa dirección MAC, al menos el puerto del switch al que está conectado.

    
respondido por el Hendrik Brummermann 13.07.2011 - 22:31
fuente
2

Voy con alguien que está enchufando un interruptor que intenta convertirse en el puente raíz. No necesariamente mitm. Sucede todo el tiempo en redes conmutadas mal administradas.

    
respondido por el RobotHumans 19.07.2011 - 15:16
fuente

Lea otras preguntas en las etiquetas