attacker the spanning tree protocol
DESCRIPTION
Spanning Tree ProtokolTRANSCRIPT
Attacker the Spanning tree protocol
Andi Sulkifli Pardi
425 10 043
Spanning Tree Protokol
STP
Definisi
Cara kerja
Konsep
Algoritma
kelebihan
Serangan
Definisi
• Spanning Tree Protokol merupakan sebuah protokol yang berada di jaringan switch yang memungkinkan semua perangkat untuk berkomunikasi antara satu sama lain agar dapat mendeteksi dan mengelola redundant link dalam jaringan
• protokol manajemen link yang menyediakan redundansi sementara mencegah perulangan yang tidak iinginkan dalam jaringan
• Spanning Tree Protocol (STP) adalah suatu Layer 2 protokol yang berjalan pada bridge dan switch
Menu
Cara kerja spanning tree
• STP menggunakan 3 kriteria untuk meletakkan port pada status forwarding :
1. STP memilih root switch. STP menempatkan semua port aktif pada root switch dalam status Forwarding.
2. Semua switch non-root menentukan salah satu port-nya sebagai port yang memiliki ongkos (cost) paling kecil untuk mencapai root switch. Port tersebut yang kemudian disebut sebagai root port (RP) switch tersebut akan ditempatkan pada status forwarding oleh STP.
3. Dalam satu segment Ethernet yang sama mungkin saja ter-attach lebih dari satu switch. Diantara switch-switch tersebut, switch dengan cost paling sedikit untuk mencapai root switch disebut designated bridge, port milik designated bridge yang terhubung dengan segment tadi dinamakan designated port (DP). Designated port juga berada dalam status forwarding.
Semua port/interface selain port/interface diatas berada dalam status BlockingMenu
Konsep Spanning Tree
• Saat desain LAN memerlukan beberapa switch, umumnya network enginer menyertakan segment LAN yang redundant diantara switch-switch tersebut. Tujuannya sederhana, switch-switch berkemungkinan mengalami kegagalan beroperasi, atau ada kemungkinan kabel terputus atau ter-unplug sehingga dengan adanya segment redundant ini, layanan network masih bisa berjalan walaupun ada kendala diatas.
• LAN dengan link yang redundant memungkinkan frame mengalami looping didalam network tanpa henti. Frame yang looping ini menyebabkan gangguan performansi pada network. Oleh karena itu, LAN memanfaatkan Spanning Tree Protocol (STP), yang memungkinkan LAN tetap bisa menggunakan link redundant tanpa harus menanggung resiko adanya frame yang looping dalam network.
• Tanpa adanya Spanning Tree Protocol (STP), LAN dengan link yang redundant mengakibatkan adanya frame yang looping tanpa henti didalam network. Dengan STP, beberapa switch akan mem-block interface/port-nya agar port tersebut tidak bisa lagi mem-forward frames keluar. STP akan menentukan port mana yang harus di block sehingga hanya 1 link saja yang aktif dalam satu segment LAN. Hasilnya, frame tetap bisa ditransfer antar-komputer tanpa menyebabkan gangguan akibat adanya frame yang looping tanpa henti di dalam network.
Menu
Algoritma spanning tree protocol
• Menghilangkan loop di-link jaringan berlebihan secara efektif menonaktifkan link.
• Monitor untuk kegagalan link aktif dan mengaktifkan kembali redundant link untuk memulihkan jaringan agar penuh konektivitas (sambil menjaga bebas topologi loop).
Menu
Kelebihan Spanning tree protokol
• Menghindari Trafic Bandwith yang tinggi dengan mesegmentasi jalur akses melalui switch
• Menyediakan Backup / stand by path utk mencegah loop dan switch yang failed/gagal
• Mencegah looping
Menu
Serangan terhadap STP
Mengambil Alih akses root bridge
• Pencegahan
DoS Menggunakan pengiriman konfigurasi
BPDU• Pencegahan
Simulasi Switch dual home
• Pencegahan
Menu
Mengambil alih Akses root bridge
• Secara default, switch LAN mengambil setiap BPDU dikirim dari Yersinia pada nilai nominal. Perlu diingat bahwa STP adalah amanah, bernegara, dan tidak menyediakan mekanisme otentikasi yang solid. Default STP prioritas jembatan adalah 32.768. Setelah dalam mode menyerang akar, Yersinia mengirimkan BPDU setiap detik 2 dengan prioritas yang sama dengan jembatan akar saat ini, tetapi dengan alamat MAC sedikit numerik lebih rendah, yang menjamin sebuah kemenangan dalam proses pemilihan akar-jembatan. Gambar 3-6 menunjukkan Yersinia ini STP layar serangan, diikuti dengan menangkap perintah show pada saklar LAN diserang.
Menu
Pencegahan
• Tindakan pencegahan untuk serangan seperti ini adalah menjaga akses root, Fitur penjaga akses root ini
memastikan bahwa port akses ke root yang diaktifkan adalah switch yang ditunjuk
pelindung BPDU(Bridge Protokol Data Unit ),Fitur Pelindung BPDU memungkinkan desainer jaringan untuk menegakkan batas domain STP dan menjaga topologi aktif yang di prediksi
Menu
DoS menggunakan pengiriman konfigurasi BPDU
• Serangan nomor 2 di Yersinia (pengiriman BPDUs conf) sangat ampuh. Dengan kursor GUI diaktifkan, Yersinia dihasilkan sekitar 25.000 BPDUs per detik pada mesin uji kami (Intel Pentium 4 mesin yang menjalankan Linux 2,4-20,8).
Menu
Pencegahan
• Tindakan pencegahan untuk serangan seperti ini adalah
1. Pelindung BPDU,Fitur Pelindung BPDU memungkinkan desainer jaringan untuk menegakkan batas domain STP dan menjaga topologi aktif yang di prediksi
2. penyaringan BPDU, Fitur ini diam-diam membuang kedua BPDUs masuk dan keluar. Meskipun sangat efisien terhadap serangan DoS brute-force, BPDU penyaringan menawarkan potensi besar untuk menembak diri sendiri di bagian bawah
3. Layer 2 PDU tingkat limiter,. Ini membatasi jumlah Layer 2 PDU (BPDUs, DTP, Port Agregasi Protokol [PAgP], CDP, VTP frame) ditakdirkan untuk prosesor mesin pengawas. Fitur ini bekerja hanya pada Catalyst 6500/7600 yang tidak beroperasi dalam modus dipotong.
Menu
Simulasi Switch Dual-homed
• Yersinia dapat memanfaatkan komputer yang dilengkapi dengan dua kartu Ethernet untuk menyamar sebagai saklar dual-homed. Kemampuan ini memperkenalkan serangan lintas-redirection menarik
Menu
Pencegahan
• Pelindung BPDU,Fitur Pelindung BPDU memungkinkan desainer jaringan untuk menegakkan batas domain STP dan menjaga topologi aktif yang di prediksi
Menu
Terima Kasih