Bundesamt für Sicherheit in der Informationstechnik

G 5.114 Missbrauch von Spanning Tree

Das Spanning Tree Protokoll ist in IEEE 802.1d spezifiziert. Spanning Tree wird verwendet, um Schleifenbildungen innerhalb eines Netzes mit mehreren Switches zu vermeiden. Bei diesem Verfahren werden redundante Netzstrukturen ermittelt und in eine zyklenfreie Struktur abgebildet. Diese Maßnahme reduziert die aktiven Verbindungswege einer beliebig vermaschten Netzstruktur auf eine Baumstruktur.

In der folgenden Abbildung ist zu erkennen, dass ein Port des unteren Switches mithilfe von Spanning Tree geblockt wurde. Durch Aussenden von Bridge Protocol Data Units ( BPDU s), wird eine Root-Bridge, basierend auf der eingestellten Priorität und MAC -Adresse des Switches, ermittelt. In der Abbildung stellt der Switch rechts oben die Root Bridge dar.

Spanning Tree bietet keine Authentisierung beim Austausch von BPDU s. Dies kann in geswitchten Netzen durch Angreifer ausgenutzt werden. Wenn ein Angreifer von einer am Switch angeschlossenen Station in der Lage ist, BPDU s auszusenden, wird mit Hilfe des Spanning Tree-Algorithmus die Topologie neu berechnet. Die Konvergenz zur Berechnung der Topologie-Änderung kann beim Spanning-Tree 30 Sekunden betragen. Dadurch kann bei der Aussendung von BPDU s die Verfügbarkeit des Netzes empfindlich gestört werden.

Stand: Stand 2005

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK