Протокол STP. Методы сетевых атак и защиты

Сегодня техники атак отказа в обслуживании представляют собой одну из самых опасных угроз с точки зрения последствий внедрения. Например, представим, что банковский сервер на полчаса приостанавливает свою деятельность. Тем самым он принесет компании убытки размером в десятки и даже сотни тысяч долларов. Сложно представить размер понесенных убытков, если сервер прекратит свою деятельность на 24 часа. Такой тип атаки не требует огромных усилий с атакующей стороны, это делает его более доступным.

Сетевая атака представляет собой полную блокировку ресурса или существенное ограничение его функциональных возможностей в результате действий атакующей стороны. Атака ограничивает доступность ресурса для его постоянных авторизованных пользователей. Данные атаки осуществляются как локально на автономной системе, так и удаленно через сеть. Целью подобных атак является сделать ресурс компании непригодным для работы или вовсе завершить работу систем или процессов.

Протокол STP (Spanning Tree Protocol) – сетевой протокол второго уровня, эта технология изобретена Радьей Перельманом.

Данный протокол используется при соединении между собой двух и более коммутаторов дублирующими соединениями или при построении сети по топологии «mesh» (связь всех со всеми). Протокол STP позволяет анализировать сеть и устранять петли (forwarding-loops) между коммутаторами, создавая граф передачи пакетов между коммутаторами.

Основная задача протокола STP – предотвратить появление петель на втором уровне. Протокол STP убирает все избыточные пути, пока они не понадобятся. Действия протокола:

- определение наиболее эффективного пути и отключение избыточных;

-определение работоспособности пути и необходимости включения запасного;

- поиск сетевых петель.

Цель данной курсовой работы -  подобно рассмотреть методы сетевых атак и их защит. 

Задачи:

- проанализировать алгоритмы работы протокола STP;

-изучить   виды протоколов STP;

- охарактеризовать методы противодействия угрозам.

Представляется, что анализ тематики достаточно актуален и представляет научный и практический интерес, поскольку данные термины прочно вошли в нашу повседневную жизнь и требуют детального анализа с целью выявления в них общего и различий.

Характеризуя степень научной разработанности проблематики, следует учесть, что данная тема уже анализировалась у различных авторов в различных изданиях: учебниках, монографиях, периодических изданиях и в интернете. Тем не менее, при изучении литературы и источников отмечается недостаточное количество полных и явных исследований тематики.

С одной стороны, тематика исследования получает интерес в научных кругах, в другой стороны, как было показано, существует недостаточная разработанность и нерешенные вопросы. Это значит, что данная работа помимо учебной, будет иметь как теоретическую, так и практическую значимость.

Определенная значимость и недостаточная научная разработанность проблемы определяют научную новизну данной работы.

Теоретико-методологическую базу исследования составили четыре группы источников. К первой отнесены авторские издания по исследуемой проблематике. Ко второй отнесена учебная литература (учебники и учебные пособия, справочная и энциклопедическая литература). К третьей отнесены научные статьи в периодических журналах по исследуемой проблематике. И к четвертой отнесены специализированные веб-сайты.

Эмпирическую базу составила практическая информация касательно данного вопроса.

При проведении исследования были использованы следующие методы исследования:

анализ существующей источниковой базы по рассматриваемой проблематике (метод научного анализа).

обобщение и синтез точек зрения, представленных в источниковой базе (метод научного синтеза и обобщения).

Работа состоит из введения, глав основной части, выводов (заключения), списка литературы.

1 Обзор Протокола STP

1.1 Алгоритмы работы протокола STP

При нормальном функционировании сети Ethernet, между двумя коммутаторами может быть активно лишь одно соединение, другие не будут использоваться. Т.к. несколько активных соединений между коммутаторами, создают петлю, STP блокирует одно или несколько таких соединений. Для обеспечения возможности резервирования соединений, протокол STP определяет граф (дерево) из сетевых коммутаторов. Протокол STP, вычислив дублирующиеся пути для данных, блокирует их, переводя в режим ожидания. В случае, если сегмент сети становится недоступным, или меняется вес пути графа STP (например, при изменении скорости соединения), алгоритм STP перестраивает дерево и если требуется, активирует резервные соединения. Работа протокола STP незаметна для оконечных узлов в сети, и неважно, подключены ли они к одному сегменту LAN, или к LAN с множеством сегментов.

STP использует алгоритм STA (Spanning Tree Algorithm), результатом работы которого является граф в виде дерева (связный и без простых циклов). Для обмена информацией между собой коммутаторы используют специальные пакеты – BPDU (Bridge Protocol DataUnits). BPDU бывают двух видов: конфигурационные (Configuration BPDU) и TCN (Topology Change Notification BPDU) которые извещают все устройства в сети о том, что топология поменялась. Первые регулярно рассылаются корневым коммутатором (и ретранслируются остальными) и используются для построения топологии, вторые отсылаются в случае изменения топологии сети (при подключении\отключении коммутатора). Конфигурационные BPDU содержат несколько полей:

идентификатор отправителя (Bridge ID),

идентификатор корневого коммутатора (Root Bridge ID),

идентификатор порта, из которого отправлен данный пакет (Port ID),

стоимость маршрута до корневого коммутатора (Root PathCost).

Так как устройства не знают своих соседей, никаких отношений (смежности/соседства) они друг с другом не устанавливают. Они шлют BPDU из всех работающих портов на мульти кастовый Ethernet-адрес 01-80-c2-00-00-00 (по умолчанию каждые 2 секунды), который прослушивают все коммутаторы с включенным STP.

Формирование топологии без петель.

Для устранения петель в сети выбирается корневой мост/коммутатор (root bridge). Это устройство, которое STP считается точкой отсчета, центром сети; все дерево STP сходится к нему. Выбор базируется на таком понятии, как идентификатор коммутатора (Bridge ID). Bridge ID это число длиной 8 байт, которое состоит из Bridge Priority (приоритет, от 0 до 65535, по умолчанию 32768+номер Vlan или Instants MSTP, в зависимости от реализации протокола), и MAC-адреса устройства. В начале выборов каждый коммутатор считает себя корневым, о чем и заявляет всем остальным с помощью BPDU, в котором представляет свой идентификатор как ID корневого коммутатора. При этом, если он получает BPDU с меньшим Bridge ID, он начинает анонсировать полученный Bridge ID в качестве корневого. В итоге, корневым оказывается тот коммутатор, чей Bridge ID меньше всех.

Такой подход таит в себе довольно серьезную проблему. При равных значениях Priority (а они равные, если не менять ничего) корневым выбирается самый старый коммутатор, так как мак адреса прописываются на производстве последовательно, соответственно, чем MAC-адрес меньше, тем устройство старше (если у нас все оборудование одного производителя). Это может привести к падению производительности сети, так как старое устройство, как правило, имеет худшие характеристики. Подобное поведение протокола можно изменить, выставляя значение приоритета на желаемом корневом коммутаторе вручную.

Статусы портов в протоколе SpanningTree

Когда топология сети еще не определена и сеть находится в неопределенном статусе, порт коммутатора, передавая данные, создает временные петли пакетов. Порты коммутаторов должны подождать некоторое время, пока не получат информацию о топологии сети, чтобы начать передавать пакеты по сети LAN. Также, они должны подождать, пока не истечет время жизни пакетов старой топологии.

Каждый порт коммутатора, который использует протокол STP, может находиться в одном из пяти состояний:

Blocking – Порт находится в заблокированном состоянии. В данном состоянии, порт не передает пакеты, но получает и отвечает на служебные сообщения.

Listening– Порт сканирует сеть. В данном состоянии, порт не имеет MAC адреса и не передает других MAC адресов, порт принимает и передает пакеты BPDU, а также получает и отвечает на служебные сообщения.

Leaning– Порт изучает топологию сети. В данном состоянии, порт не передает никаких пакетов, кроме пакетов BPDU. Порт находится в режиме заполнения таблицы MAC адресов, и готовится к началу передачи данных, а также он получает и отвечает на служебные сообщения.

Forwarding – Порт находится в режиме передачи. В данном состоянии, порт принимает и передает все пакеты сети.

Disabled – (Выключен – обычно переведен в такое состояние вручную). Отключенный порт не принимает и не получает никаких типов пакетов в сети.

После перезагрузки коммутатора или изменения топологии сети, порт, использующий STP, четырежды меняет свое состояния. Коммутаторы с резервными соединениями, и правильно настроенные коммутаторы, также могут иметь порты в статусах blocking или Forwarding.

Этапы инициализации порта:

С initializing в blocking.

С blocking в listening.

С listening в learning.

С learning в forwarding.

С Forwarding в disabled (при ручной настройке) – не является обязательным шагом.

Порядок перечисления состояний не случаен: при включении (а также при включении нового устройства), все порты на устройстве с STP проходят вышеприведенные состояния именно в таком порядке (за исключением disabled-портов). Возникает закономерный вопрос: а зачем такие сложности? STP осторожничает. Ведь на другом конце провода, который только что воткнули в порт, может быть коммутатор, а это потенциальная петля. Поэтому порт сначала 15 секунд (по умолчанию) пребывает в состоянии прослушивания – он смотрит BPDU, попадающие в него, выясняет свое положение в сети. Потом переходит к обучению еще на 15 секунд – пытается выяснить, какие mac-адреса используются на подключенном проводе, и потом, убедившись, что ничего он не поломает, начинает уже свою работу. Итого, мы имеем целых 30 секунд простоя, прежде чем подключенное устройство сможет обмениваться информацией со своими соседями. Современные компьютеры грузятся быстрее, чем за 30 секунд. Вот комп загрузился, пытается выйти в сеть, пытается обратиться к DHCP-серверу для получения IP-адреса, и, не получив искомого проставляет у себя IP-адрес авто настройки. Получив адрес вида 169.254.x.x компьютер никуда уже выйти не сможет. Для того что бы избежать подобных ситуаций используют режим порта - PortFast.

1. Щерба М. В., Обнаружение низкоактивных распределенных атак типа отказ в обслуживании в компьютерных сетях, Омск, 2007, 130 с.
2. Гамаюнов Д. Ю. Обнаружение компьютерных атак на основе поведения сетевых объектов, М., 2017, 89 с.
3. Жульков Е. В. Построение нейронных сетей для обнаружения классов сетевых атак, СПб., 2017, 155 с.
4. Александров И.С. Разработка системы защиты web-приложений от автоматизированного копирования информации. М.: Дело, 2013. 127 с.
5. Хафизов А.Ф. Нейросетевая система обнаружения атак на www-сервер, Уфа, 2004, 172 с.
6. Хайкин С., Нейронные сети: полный курс, 2-е изд., испр., ООО И. Д. Вильямс. М.: Вектра, 2006, 1104 с.