G 5.114 Missbrauch von Spanning Tree
Das Spanning Tree Protokoll ist in IEEE 802.1d spezifiziert. Spanning Tree wird verwendet, um Schleifenbildungen innerhalb eines Netzes mit mehreren Switches zu vermeiden. Bei diesem Verfahren werden redundante Netzstrukturen ermittelt und in eine zyklenfreie Struktur abgebildet. Diese Maßnahme reduziert die aktiven Verbindungswege einer beliebig vermaschten Netzstruktur auf eine Baumstruktur.
In der folgenden Abbildung ist zu erkennen, dass ein Port des unteren Switches mit Hilfe von Spanning Tree geblockt wurde. Durch Aussenden von Bridge Protocol Data Units (BPDUs), wird eine Root-Bridge, basierend auf der eingestellten Priorität und MAC-Adresse des Switches, ermittelt. In der Abbildung stellt der Switch rechts oben die Root Bridge dar.
Spanning Tree bietet keine Authentisierung beim Austausch von BPDUs. Dies kann in geswitchten Netzen durch Angreifer ausgenutzt werden. Wenn ein Angreifer von einer am Switch angeschlossenen Station in der Lage ist, BPDUs auszusenden, wird mit Hilfe des Spanning Tree-Algorithmus die Topologie neu berechnet. Die Konvergenz zur Berechnung der Topologie-Änderung kann beim Spanning-Tree 30 Sekunden betragen. Dadurch kann bei der Aussendung von BPDUs die Verfügbarkeit des Netzes empfindlich gestört werden.