路由器网的STP协议的攻击与保护简介

在使用路由器组建的网络中，网络层的第二层是一个最要命的层次了，漏洞和BUG一大堆，补也补不完，有时候修改了危险的设置，可能还会对正常的网络造成一定的影响，产生时延和数据丢包等故障。所以还的权衡利弊来考虑安全的配置，太复杂和太简单都不好。
而在路由器网http://www.luyouqiwang.com 中，STP是一个很危险的协议，它完全是靠优先级之类的数值来选举root交换机的，黑客可以使用工具，来伪装自己为一个交换机，然后发送优先级高的BPDU，很容易成为root，一旦成为root，它就决定了数据包的走向，岂不是很危险吗！即时它不能成为root，一个伪交换机一直不停的给你骚扰，和你传输BPDU，对真实的交换机也是很有影响的。

处理这样的问题如果是低端的交换机主要用软件的方式，有两种解决办法，一种是rootguard，只要你设置了这个，接口下的设备就不可能成为root，不论他的优先级如何。

但是这样依然无法阻止关于STP的DoS攻击，这样就需要用到另一个技术BPDUguard，它的作用是当你发了BPDU时，就会丢弃你的包，或者是使接口down掉，过一段时间才能恢复正常，一点你再发出攻击，你的端口就又down掉了。

这个可以很好的保护二层的STP，让整个路由器逐渐的网络能够减少被攻击的概率。