Угрозы и модели атак на втором уровне (Layer-2)
Защита пользовательских ПК (предыдущая тема курса) снижает риск первичного заражения и кражи учётных данных, но не отменяет факт: локальная сеть по умолчанию доверчива на канальном уровне. Если атакующий уже оказался внутри сегмента (подключился к порту, получил доступ через компрометированный ПК или «принёс» мини-коммутатор), он может атаковать механизмы, на которых держится доставка кадров Ethernet и базовая сегментация VLAN.
Эта статья объясняет, как именно атакуют Layer-2, какие предпосылки нужны атакующему и к чему приводят такие атаки. В следующей статье курса мы перейдём к конфигурациям защит (Port Security, DHCP Snooping, Dynamic ARP Inspection и другие), а здесь сосредоточимся на моделях угроз.
Что такое Layer-2 и почему он важен для безопасности
Layer-2 (канальный уровень) в локальной сети отвечает за доставку кадров внутри широковещательного домена (обычно VLAN). На практике это:
Ethernet-кадры и MAC-адреса.
Коммутаторы (switch), которые принимают решение, на какой порт отправить кадр.
VLAN как логическая сегментация одной физической инфраструктуры.
Широковещание и служебные протоколы «соседства».Критическая особенность: во многих локальных сетях Layer-2 исторически проектировался как среда с высоким уровнем доверия. Поэтому встречаются протоколы и механизмы, где:
Нет криптографической аутентификации участников.
Можно подменять «сетевую идентичность» на уровне MAC.
Широковещательные сообщения принимаются множеством узлов.Это делает Layer-2 удобной точкой для атак класса перехват, подмена, обход сегментации и отказ в обслуживании.
!Иллюстрация двух типовых моделей L2-атак: перехват (MITM через ARP) и деградация коммутатора через переполнение MAC-таблицы
Ключевые элементы, которые атакуют на Layer-2
MAC-таблица коммутатора
Коммутатор строит таблицу соответствий MAC-адрес → порт (её часто называют CAM table или FDB). Он «обучается» по исходным MAC-адресам входящих кадров.
Если запись неизвестна, коммутатор может отправить кадр во все порты VLAN (поведение flooding для unknown unicast).
ARP как «склейка» IP и MAC
В IPv4 сети протокол ARP сопоставляет IP-адрес с MAC-адресом внутри локального сегмента. ARP по умолчанию не проверяет, что ответ действительно пришёл от владельца IP.
Полезный первоисточник: RFC 826: An Ethernet Address Resolution Protocol.
DHCP как выдача сетевой конфигурации
DHCP раздаёт IP-адреса и параметры, в том числе адрес шлюза и DNS. Если атакующий подменит DHCP-ответ, он может незаметно изменить маршрут трафика или DNS.
Первичный стандарт: RFC 2131: Dynamic Host Configuration Protocol.
Spanning Tree Protocol (STP) как защита от петель
STP предотвращает L2-петли, выбирая «корневой» коммутатор и блокируя лишние связи. Если атакующий вмешается в STP, он может:
вызвать деградацию сети (постоянные перерасчёты);
попытаться направить трафик через себя за счёт смены топологии.Для понимания логики STP можно использовать обзор: Cisco: Understanding Spanning Tree Protocol.
Модель нарушителя на Layer-2
Практически полезно различать сценарии по доступу атакующего.
Атакующий уже внутри VLAN
Источники доступа:
скомпрометированный пользовательский ПК;
злонамеренный инсайдер;
«гостевое» устройство, физически подключённое к розетке.Возможности:
отправлять произвольные Ethernet-кадры и широковещательные пакеты;
менять свой MAC-адрес;
генерировать высокий объём трафика.Атакующий управляет конфигурацией порта или «договаривается» с коммутатором
Это более сильная позиция. Она появляется, если:
порт ошибочно настроен как trunk;
включены механизмы авто-согласования режимов (в некоторых средах);
есть уязвимости или ошибки в управлении коммутатором.Тогда появляется шанс атаковать сегментацию VLAN или получить доступ к нескольким VLAN.
Атакующий не обязательно технически продвинут
Часть L2-атак выполняется готовыми инструментами и сводится к простым действиям:
запустить ARP-spoofing;
поднять rogue DHCP;
включить дешёвый коммутатор/точку доступа и «размножить» подключение.Именно поэтому в локальной сети важны защита портов и предсказуемая конфигурация.
Типовые цели атак на Layer-2
Перехват трафика внутри сегмента для кражи учётных данных, токенов, контента.
Подмена (man-in-the-middle) с возможностью модификации данных.
Обход сегментации VLAN или политик доступа.
Отказ в обслуживании (локальная деградация, «роняние» сегмента, исчерпание ресурсов).
Подготовка бокового перемещения (упрощение дальнейших атак на AD, VoIP, Wi‑Fi контроллеры, SAN-шлюзы).Классы атак на втором уровне
Разведка и сбор информации в L2-сегменте
Даже без активного «взлома» атакующий внутри VLAN часто может собрать много полезного:
наблюдать широковещание (ARP, DHCP, иногда mDNS/LLMNR);
выявлять IP/MAC соседей, шлюз, DHCP и DNS;
получить сведения о моделях оборудования через служебные протоколы (если они разрешены).Результат разведки — подготовка к перехвату, подмене или атаке на конкретные узлы.
Подмена идентичности на уровне MAC
Поскольку MAC-адрес легко меняется программно, атакующий может:
имитировать «разрешённый» MAC, если доступ к сети завязан на списки MAC;
обойти примитивные ограничения «по устройствам»;
спровоцировать конфликты и нестабильность (два узла с одним MAC в сети).Важно: фильтрация по MAC сама по себе не является надёжной защитой, потому что MAC обычно не секрет.
Перехват и подмена трафика через ARP-spoofing (IPv4)
Суть атаки:
жертва верит ARP-ответам без проверки;
атакующий отправляет поддельные ARP-ответы, привязывая IP шлюза к своему MAC;
трафик жертвы к шлюзу начинает идти через атакующего.Последствия:
перехват незашифрованных протоколов;
попытки downgrade/инъекций, если есть слабые места на уровне приложений;
упрощение кражи учётных данных и токенов (в связке с компрометацией ПК).Ограничения:
атака обычно работает только внутри одного широковещательного домена (одного VLAN);
для устойчивого MITM атакующему часто нужно ещё обеспечить пересылку трафика дальше, чтобы сеть «не упала» для жертвы.Rogue DHCP и DHCP starvation
Два близких сценария.
Rogue DHCP:
атакующий поднимает «левый» DHCP-сервер;
клиенты могут получить от него настройки.Что можно подменить:
адрес шлюза (направить трафик через атакующего);
DNS (перевести пользователей на фишинговые ресурсы или внутренние подделки);
параметры маршрутизации и прокси в зависимости от среды.DHCP starvation:
атакующий генерирует много запросов с разными MAC;
пул адресов легитимного DHCP истощается;
пользователи теряют возможность получить IP.Переполнение MAC-таблицы (CAM table flooding)
Суть:
атакующий шлёт кадры с большим количеством поддельных исходных MAC;
коммутатор пытается «обучиться» и переполняет таблицу;
далее неизвестные unicast кадры чаще уходят во flooding по VLAN.Последствия:
увеличение объёма «лишнего» трафика в сегменте;
упрощение пассивного прослушивания (часть трафика может оказаться на порту атакующего);
деградация производительности.На современных коммутаторах эффективность зависит от модели, настроек и защит, но как модель угрозы это важно: атакующий пытается превратить коммутатор в поведение, близкое к «общей среде», где проще перехватывать.
Атаки на STP и топологию
Если атакующий может отправлять BPDUs (служебные STP-кадры) и сеть не защищена, возможны:
STP manipulation: попытка «стать root bridge» или изменить выбор путей;
STP instability: частые изменения топологии, вызывающие деградацию.Последствия:
кратковременные или длительные простои;
непредсказуемые пути трафика;
в ряде дизайнов — возможность направить поток через узел атакующего.На практике это особенно опасно в сетях с большим числом access-портов и недостаточной L2-гигиеной.
Обход VLAN-сегментации (VLAN hopping)
VLAN hopping — общий термин для попыток «вылезти» из своего VLAN на уровне L2.
Типовые механики, которые обсуждают в контексте моделей угроз:
Switch spoofing: попытка заставить порт работать как trunk (если режимы согласуются автоматически в данной среде).
Double tagging: отправка кадра с двумя VLAN-тегами, чтобы он оказался в другом VLAN при определённой конфигурации native VLAN.Практическая ценность для атакующего:
доступ к сервисам другого сегмента без маршрутизации и ACL;
приближение к чувствительным зонам (например, management, voice, storage).Важное уточнение: реальная осуществимость VLAN hopping зависит от конкретной конфигурации коммутаторов. Поэтому в следующей статье курса мы разберём, какие настройки делают такие атаки практически невозможными.
Локальные петли и «дешёвые» сетевые катастрофы
Иногда L2-инцидент — не сложная атака, а примитивное действие:
пользователь подключил кабель «из розетки в розетку»;
поставили мини-коммутатор без понимания топологии;
подключили два порта коммутатора между собой.Если защиты от петель и ошибок не настроены, последствия могут быть такими же, как от целенаправленной атаки:
шторм широковещания;
резкий рост нагрузки на коммутаторы;
недоступность сервисов в VLAN.С точки зрения безопасности это важно, потому что доступность — часть требований к защищённой сети.
Связка Layer-2 атак с компрометацией ПК
Layer-2 атаки особенно опасны, когда атакующий уже получил контроль над пользовательским ПК:
можно незаметно запустить ARP-spoofing изнутри ОС;
проще перехватывать корпоративные протоколы и трафик приложений;
удобнее «прикрываться» легитимным хостом, который уже находится в нужной VLAN.И наоборот, грамотная защита ПК (EDR, ограничение прав, хостовый firewall) уменьшает шанс, что атака на Layer-2 будет запущена массово и незаметно.
Карта атак: предпосылки, влияние, наблюдаемость
| Атака | Что нужно атакующему | Основной эффект | Типовые признаки в сети |
|---|---|---|---|
| ARP-spoofing | Быть в одной VLAN с жертвой | MITM, перехват/подмена | Изменение ARP-таблиц, дубликаты ARP, «прыгающий» MAC для IP шлюза |
| Rogue DHCP | Доставить DHCP-ответы клиентам | Подмена шлюза/DNS, MITM | Два DHCP-источника, «неправильные» опции DHCP |
| DHCP starvation | Генерировать много DHCP-сессий | Отказ в выдаче адресов | Исчерпан пул, всплеск DHCP-трафика |
| CAM flooding | Генерировать много разных MAC | Flooding unknown unicast, деградация | Рост неизвестного unicast, нагрузка на коммутатор |
| STP manipulation | Отправлять BPDUs в сегмент | Перестройка топологии, деградация | Topology change, смена root, частые перерасчёты |
| VLAN hopping | Специфичная конфигурация VLAN/trunk | Выход в другой VLAN | Неожиданная видимость сервисов, аномалии на trunk/портах |
Таблица — не «инструкция», а способ мыслить: любая угроза описывается через предпосылки, эффект и наблюдаемые признаки, которые можно использовать для мониторинга и реагирования.
Что логировать и где искать следы L2-атак
Даже до внедрения специализированных средств мониторинга полезно понимать источники данных:
события коммутаторов (изменения STP, нарушения, ошибки портов);
сообщения о DHCP (особенно при подозрении на rogue DHCP);
сетевые дампы (SPAN/port mirroring) при расследовании;
телеметрия EDR на конечных точках (запуск утилит, странные сетевые паттерны).На уровне процессов важно, чтобы команды эксплуатации и ИБ заранее договорились:
кто имеет право включать зеркалирование порта;
как быстро можно изолировать порт или VLAN;
как фиксируются артефакты для расследования.Как эта тема связывается со следующей статьёй
Мы выяснили, что Layer-2 уязвим из-за доверчивых механизмов доставки и «соседства», а атаки чаще всего сводятся к:
подмене (ARP/DHCP);
деградации (CAM flooding, петли, STP);
обходу сегментации (VLAN hopping) при ошибках конфигурации.В следующей статье мы перейдём от моделей атак к практическим защитам и настройкам коммутаторов: какие функции включать, где ставить границы доверия и как построить Layer-2 так, чтобы перечисленные сценарии либо не работали, либо быстро обнаруживались.