|
|
|
联系客服020-83701501

解析常见的VLAN攻击

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
阐发常见的VLAN进犯

VLAN进犯才智是黑客基于VLAN技能操纵所采纳的进犯设施,面对这些名目创新的进犯才智,如何采纳有效的灌注程序?在本文中,将针对操纵VLAN技能筹划的网络,引见黑客的进犯才智和咱们大要采纳的提防才智。

今朝常见的VLAN的进犯有如下几种:

VLAN进犯1.802.1Q 和 ISL 标识表记标帜进犯

标识表记标帜进犯属于恶意进犯,操纵它,一个 VLAN 上的用户大要不法访问拜访另一个 VLAN 。好比,假定将幻化机端口配置成 DTP(DYNAMIC TRUNK PROTCOL) auto ,用于接收编造 DTP(DYNAMIC TRUNK PROTCOL) 分组,那么,它将成为干道端口,并有大要接收通往任何 VLAN 的流量。由此,恶意用户大要通过受牵制的端口与其它 VLAN 通信。 无意即便只是接收平时分组,幻化机端口也大要违背本人的初志,像全能干道端口那样应用(好比,从本地以外的其它 VLAN 接收分组),这种景象群体称为“VLAN 渗漏”。

对于这种进犯,只要将全数不行信端口(不契合信赖前提)上的 DTP(DYNAMIC TRUNK PROTCOL) 设置为“关”,便可提防这种进犯的侵袭。 Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4000 和 Catalyst 6000 系列幻化机上运转的软件和硬件还大要在全数端口上施行妥当的流量分类和隔离。

VLAN进犯2.双封装 802.1Q/ 嵌套式 VLAN 进犯

在幻化机内部, VLAN 数字和标识用不凡扩展花式浮现,目的是让转发路径抛却端到端 VLAN 独立,并且不会消散任何音讯。在幻化机外部,标识表记标帜规则由 ISL 或 802.1Q 等规范规定。

ISL 属于思科专有技能,是设备中应用的扩展分组报头的分离形式,每个分组总会失掉一个标识表记标帜,不有标识散失强占,因此大要提高安全性。

另一方面,拟订了 802.1Q 的 IEEE 委员会决议,为实现向下兼容性,最好支持本征 VLAN ,即支持与 802.1Q 链路就任何标识表记标帜显式不关系的 VLAN 。这种 VLAN 以隐含设施被用于接收802.1Q端口上的全数无标识表记标帜流量。

这种苦守是用户所渴望的,由于操纵这个苦守,802.1Q端口大要通过收发无标识表记标帜流量直接与老 802.3 端口对话。但是,在全数别的环境下,这种苦守大要会稀奇无害,由于通过 802.1Q 链路传输时,与本地 VLAN 关系的分组将散失其标识表记标帜,好比散失其供职等级( 802.1p 位)。

先剥离,再送回进犯者 802.1q 帧 ,VLAN A、 VLAN B 数据包罗本征VLAN A 的干道 VLAN B 数据

当心: 只需干道所处的本征 VLAN 与进犯者相同,才会产生劝化。

当双封装 802.1Q 分组凑巧从 VLAN与干道的本征 VLAN 相同的设备进中计络时,这些分组的 VLAN 标识将无奈端到端保管,由于 802.1Q 干道总会对分组中断批改,即剥离掉其外部标识表记标帜。删除外部标识表记标帜当前,内部标识表记标帜将成为分组的用心 VLAN 标识符。因此,假定用两个一致的标识表记标帜对分组中断双封装,流量便大要在一致 VLAN 之间跳转。

这种环境将被视为误配置,由于 802.1Q 规范并不强逼用户在这些环境下应用本征 VLAN 。事实上,应一贯应用的妥当配置是从全数 802.1Q 干道销毁本地 VLAN (将其设置为 802.1q-all-tagged 模式大要达到完全相同的成果)。在无奈销毁本地 VLAN 时, 应决议未应用的 VLAN 作为全数干道的本地 VLAN ,并且不克不及将该 VLAN 用于任何其它目的 。 STP、DTP(DYNAMIC TRUNK PROTCOL)和UDLD等协议应为本地 VLAN 的唯一不法用户,并且其流量该当与全数数据分组完全隔离开。

VLAN进犯3.VLAN腾踊进犯

捏造局域网(VLAN)是对播送域中断分段的要领。VLAN还经少用于为网络供给额定的安全,由于一个VLAN上的计较机无奈与不有大白访问拜访权的另一个VLAN上的用户中断对话。不过VLAN本人不敷以关切环境的安全,恶意黑客通过VLAN腾踊进犯,即便未经受权,也大要从一个VLAN跳到另一个VLAN。

VLAN 腾踊进犯(VLAN hopping)请托的是动静中继协议(DTP(DYNAMIC TRUNK PROTCOL))。假定有两个相互毗邻的幻化机,DTP(DYNAMIC TRUNK PROTCOL)就大要对两者中断商量,必然它们要不要成为802.1Q中继,卡脖子历程是通过搜查端口的配置形态来实现的。

VLAN腾踊进犯空虚操纵了DTP(DYNAMIC TRUNK PROTCOL),在VLAN腾踊进犯中,黑客大要欺骗计较机,假冒成另一个幻化机发送空虚的DTP(DYNAMIC TRUNK PROTCOL)商量动态,颁布发表它想成为中继; 实在的幻化机收到这个DTP(DYNAMIC TRUNK PROTCOL)动态后,以为它理应启用802.1Q中继苦守,而一旦中继苦守被启用,通过全数VLAN的音讯流就会发送到黑客的计较机上。

中继确立起来后,黑客大要持续探测音讯流,也大要通过给帧减少802.1Q音讯,指定想把进犯流量发送给哪个VLAN。
本文摘自网络由网络安全攻防钻研室(www.91ri.org) 音讯安全小组搜集整顿.转载本文请着名原文地点及原作者版权音讯。

数安新闻+更多

证书相关+更多