Spanning Tree Protocol (STP) adalah protokol layer 2 yang digunakan dalam jaringan switch untuk mencegah looping frame dan mengelola redundansi link. Dengan menggunakan kriteria tertentu, STP menentukan port yang aktif dan mengurangi risiko kegagalan jaringan akibat gangguan. Namun, STP juga rentan terhadap serangan seperti pengambilalihan akses root bridge, yang memerlukan tindakan pencegahan melalui fitur keamanan seperti pelindung BPDU dan penyaringan BPDU.

1. Attacker the Spanning Andi Sulkifli Pardi
tree protocol 425 10 043

2. Spanning Tree Protokol
Definisi
Cara
Serangan
kerja
STP
kelebihan Konsep
Algoritma

3. Definisi
• Spanning Tree Protokol merupakan sebuah protokol yang berada di
jaringan switch yang memungkinkan semua perangkat untuk
berkomunikasi antara satu sama lain agar dapat mendeteksi
dan mengelola redundant link dalam jaringan
• protokol manajemen link yang menyediakan redundansi
sementara mencegah perulangan yang tidak iinginkan dalam
jaringan
• Spanning Tree Protocol (STP) adalah suatu Layer 2 protokol yang
berjalan pada bridge dan switch
Menu

4. Cara kerja spanning tree
• STP menggunakan 3 kriteria untuk meletakkan port pada status forwarding :
1. STP memilih root switch. STP menempatkan semua port aktif pada root switch dalam status
Forwarding.
2. Semua switch non-root menentukan salah satu port-nya sebagai port yang memiliki ongkos (cost)
paling kecil untuk mencapai root switch. Port tersebut yang kemudian disebut sebagai root port
(RP) switch tersebut akan ditempatkan pada status forwarding oleh STP.
3. Dalam satu segment Ethernet yang sama mungkin saja ter-attach lebih dari satu switch. Diantara
switch-switch tersebut, switch dengan cost paling sedikit untuk mencapai root switch disebut
designated bridge, port milik designated bridge yang terhubung dengan segment tadi dinamakan
designated port (DP). Designated port juga berada dalam status forwarding.
Semua port/interface selain port/interface diatas berada dalam status Blocking
Menu

5. Konsep Spanning Tree
• Saat desain LAN memerlukan beberapa switch, umumnya network enginer menyertakan segment
LAN yang redundant diantara switch-switch tersebut. Tujuannya sederhana, switch-switch
berkemungkinan mengalami kegagalan beroperasi, atau ada kemungkinan kabel terputus atau ter-
unplug sehingga dengan adanya segment redundant ini, layanan network masih bisa berjalan
walaupun ada kendala diatas.
• LAN dengan link yang redundant memungkinkan frame mengalami looping didalam network tanpa
henti. Frame yang looping ini menyebabkan gangguan performansi pada network. Oleh karena
itu, LAN memanfaatkan Spanning Tree Protocol (STP), yang memungkinkan LAN tetap bisa
menggunakan link redundant tanpa harus menanggung resiko adanya frame yang looping dalam
network.
• Tanpa adanya Spanning Tree Protocol (STP), LAN dengan link yang redundant mengakibatkan
adanya frame yang looping tanpa henti didalam network. Dengan STP beberapa switch akan mem-
,
block interface/port-nya agar port tersebut tidak bisa lagi mem-forward frames keluar. STP akan
menentukan port mana yang harus di block sehingga hanya 1 link saja yang aktif dalam satu
segment LAN. Hasilnya, frame tetap bisa ditransfer antar-komputer tanpa menyebabkan gangguan
akibat adanya frame yang looping tanpa henti di dalam network.
Menu

6. Algoritma spanning tree protocol
• Menghilangkan loop di-link jaringan berlebihan secara efektif
menonaktifkan link.
• Monitor untuk kegagalan link aktif dan mengaktifkan kembali
redundant link untuk memulihkan jaringan agar penuh konektivitas
(sambil menjaga bebas topologi loop).
Menu

7. Kelebihan Spanning tree protokol
• Menghindari Trafic Bandwith yang tinggi dengan mesegmentasi
jalur akses melalui switch
• Menyediakan Backup / stand by path utk mencegah loop dan
switch yang failed/gagal
• Mencegah looping
Menu

8. Serangan terhadap STP
• Pencegahan
• Pencegahan
• Pencegahan
Menu

9. Mengambil alih Akses root bridge
• Secara default, switch LAN mengambil setiap BPDU
dikirim dari Yersinia pada nilai nominal. Perlu diingat
bahwa STP adalah amanah, bernegara, dan tidak
menyediakan mekanisme otentikasi yang solid. Default
STP prioritas jembatan adalah 32.768. Setelah dalam
mode menyerang akar, Yersinia mengirimkan BPDU
setiap detik 2 dengan prioritas yang sama dengan
jembatan akar saat ini, tetapi dengan alamat MAC
sedikit numerik lebih rendah, yang menjamin sebuah
kemenangan dalam proses pemilihan akar-jembatan.
Gambar 3-6 menunjukkan Yersinia ini STP layar
serangan, diikuti dengan menangkap perintah show
pada saklar LAN diserang.
Menu

10. Pencegahan
• Tindakan pencegahan untuk serangan seperti ini adalah
menjaga akses root, Fitur penjaga akses root ini memastikan
bahwa port akses ke root yang diaktifkan adalah switch yang
ditunjuk
pelindung BPDU(Bridge Protokol Data Unit ),Fitur Pelindung BPDU
memungkinkan desainer jaringan untuk menegakkan batas domain
STP dan menjaga topologi aktif yang di prediksi
Menu

11. DoS menggunakan pengiriman konfigurasi BPDU
• Serangan nomor 2 di Yersinia (pengiriman BPDUs conf) sangat
ampuh. Dengan kursor GUI diaktifkan, Yersinia dihasilkan sekitar
25.000 BPDUs per detik pada mesin uji kami (Intel Pentium 4
mesin yang menjalankan Linux 2,4-20,8).
Menu

12. Pencegahan
• Tindakan pencegahan untuk serangan seperti ini adalah
1. Pelindung BPDU,Fitur Pelindung BPDU memungkinkan desainer jaringan
untuk menegakkan batas domain STP dan menjaga topologi aktif yang
di prediksi
2. penyaringan BPDU, Fitur ini diam-diam membuang kedua BPDUs masuk
dan keluar. Meskipun sangat efisien terhadap serangan DoS brute-
force, BPDU penyaringan menawarkan potensi besar untuk menembak
diri sendiri di bagian bawah
3. Layer 2 PDU tingkat limiter,. Ini membatasi jumlah Layer 2 PDU
(BPDUs, DTP, Port Agregasi Protokol [PAgP], CDP, VTP frame)
ditakdirkan untuk prosesor mesin pengawas. Fitur ini bekerja hanya
pada Catalyst 6500/7600 yang tidak beroperasi dalam modus dipotong.
Menu

13. Simulasi Switch Dual-homed
• Yersinia dapat memanfaatkan komputer yang dilengkapi dengan
dua kartu Ethernet untuk menyamar sebagai saklar dual-homed.
Kemampuan ini memperkenalkan serangan lintas-redirection
menarik
Menu

14. Pencegahan
• Pelindung BPDU,Fitur Pelindung BPDU memungkinkan desainer
jaringan untuk menegakkan batas domain STP dan menjaga
topologi aktif yang di prediksi
Menu

15. Terima Kasih