在进入 VLAN 跳跃攻击的工作和预防之前,有必要了解 VLAN 是什么。
如何理解VLAN跳跃攻击?VLAN 是一个虚拟局域网,其中一个物理网络被划分为一组设备以将它们互连。VLAN 通常用于在交换第 2 层网络中将单个广播域分割为多个广播域。要在两个 VLAN 网络之间进行通信,需要一个第 3 层设备(通常是路由器),以便两个 VLAN 之间通信的所有数据包都必须通过第 3 层 OSI 设备。
VLAN跳跃攻击和缓解:在这种类型的网络中,每个用户都有一个接入端口,以便将 VLAN 的流量彼此分开,即,连接到接入端口的设备只能访问该特定 VLAN 的流量,因为每个交换机接入端口都连接到一个特定的 VLAN。在了解什么是 VLAN 的基础知识之后,让我们开始了解 VLAN 跳跃攻击及其工作原理。
VLAN跳跃攻击工作原理
VLAN Hopping Attack 是一种网络攻击,攻击者试图通过通过攻击者连接的另一个 VLAN 网络向其发送数据包来获得对 VLAN 网络的访问权。在这种攻击中,攻击者恶意地尝试访问来自网络中其他 VLAN 的流量,或者可以将流量发送到该网络中的其他 VLAN,而他没有合法访问权限。在大多数情况下,攻击者只利用 2 层来分割各种主机。
本文简要概述了 VLAN Hopping 攻击、其类型以及如何通过及时检测来防止它。
VLAN 跳跃攻击的类型
交换欺骗 VLAN 跳跃攻击:
在交换欺骗 VLAN Hopping Attack 中,攻击者试图通过欺骗交换机在攻击者的设备和交换机之间建立中继链路来模仿交换机来利用合法交换机。中继链路是两个交换机或交换机和路由器的链接。中继链路承载链接交换机或链接交换机和路由器之间的流量,并维护 VLAN 数据。
VLAN跳跃攻击工作原理:从中继链路通过的数据帧被标记为由数据帧所属的 VLAN 标识。因此,Trunk 链路承载多个 VLAN 的流量。由于允许来自每个 VLAN 的数据包通过中继链路,因此在中继链路建立后,攻击者立即访问网络上所有 VLAN 的流量。
只有当攻击者链接到配置被设置为以下任一模式的交换机接口时,这种攻击才有可能,“动态期望”、“动态自动”或“中继”模式。这允许攻击者通过从他们的计算机生成 DTP(动态中继协议;它们被用来动态地在两个交换机之间建立中继链接)消息来在他们的设备和交换机之间形成中继链接。
双重标记 VLAN 跳跃攻击:
如何理解VLAN跳跃攻击?双标记 VLAN 跳跃攻击也可以称为双重封装VLAN 跳跃攻击。只有当攻击者连接到连接到中继端口/链路接口的接口时,这些类型的攻击才有效。
双标签VLAN Hopping Attack是指攻击者修改原始帧添加两个标签,就像大多数交换机只去掉外层标签一样,只能识别外层标签,而保留内层标签。外部标签链接到攻击者的个人 VLAN,而内部标签链接到受害者的 VLAN。
首先,攻击者恶意制作的双标签帧到达交换机,交换机打开数据帧。然后识别数据帧的外部标签,属于链接关联的攻击者的特定 VLAN。之后,它将帧转发到每一个本地 VLAN 链路,而且,该帧的副本被发送到中继链路,该链路通往下一个交换机。
然后下一个交换机打开该帧,将数据帧的第二个标签标识为受害者的 VLAN,然后将其转发到受害者的 VLAN。最终,攻击者将能够访问来自受害者 VLAN 的流量。双标签攻击只是单向的,无法限制返回包。
减轻 VLAN 跳跃攻击
交换式欺骗 VLAN 攻击缓解:
VLAN跳跃攻击和缓解:接入端口的配置不应设置为以下任何一种模式:“动态期望”、“动态自动”或“中继”。
手动设置所有接入端口的配置,并在所有具有交换机端口模式接入或交换机端口模式协商的接入端口上禁用动态中继协议。
- switch1 (config) # 接口千兆以太网 0/3
- Switch1(config-if) # switchport模式访问
- Switch1(config-if)# exit
手动设置所有中继端口的配置并禁用所有中继端口上的动态中继协议,使用交换端口模式中继或交换端口模式协商。
- Switch1(config)# interface gigabitethernet 0/4
- Switch1(config-if) # switchport 中继封装 dot1q
- Switch1(config-if) # switchport 模式中继
- Switch1(config-if) # 切换端口非协商
将所有未使用的接口加入VLAN,然后关闭所有未使用的接口。
双重标记 VLAN 攻击缓解:
不要将网络中的任何主机置于默认 VLAN 上。
创建一个未使用的 VLAN 以设置并将其用作中继端口的本地 VLAN。同样,请对所有中继端口执行此操作;分配的 VLAN 仅用于本地 VLAN。
- Switch1(config)# interface gigabitethernet 0/4
- Switch1(config-if) # switchport trunk native VLAN 400
VLAN跳跃攻击和缓解总结
如何理解VLAN跳跃攻击?这种攻击允许恶意攻击者非法访问网络。然后攻击者可以剪掉密码、个人信息或其他受保护的数据。同样,他们还可以安装恶意软件和间谍软件,传播特洛伊木马、蠕虫和病毒,或者更改甚至删除重要信息。攻击者可以轻松嗅探来自网络的所有流量,将其用于恶意目的。它还可以在一定程度上破坏带有不必要帧的流量。
VLAN跳跃攻击工作原理:综上所述,毫无疑问,VLAN 跳跃攻击是一种巨大的安全威胁。为了减轻此类攻击,本文为读者提供了安全和预防措施。同样,不断需要额外和更高级的安全措施,这些措施应该添加到基于 VLAN 的网络中,并将网段改进为安全区域。