思科ccnp认证工程师必要了解的VLAN攻击概述
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
VLAN攻击手段是基于VLAN技术应用所采取的攻击方式,面对这些花样翻新的攻击手段,如何采取有效的防范措施?
1、802.1Q和ISL标记攻击:
标记攻击属于恶意攻击,利用它,一个 VLAN 上的用户可以非法访问另一个 VLAN 。例如,如果将交换机端口配置成 DTP(DYNAMIC TRUNK PROTCOL) auto ,用于接收伪造 DTP(DYNAMIC TRUNK PROTCOL) 分组,那么,它将成为干道端口,并有可能接收通往任何 VLAN 的流量。由此,恶意用户可以通过受控制的端口与其它 VLAN 通信。
对于这种攻击,只需将所有不可信端口上的 DTP(DYNAMIC TRUNK PROTCOL) 设置为关闭状态即可。
2、双封装802.1Q/嵌套式VLAN攻击:
在交换机内部, VLAN 数字和标识用特殊扩展格式表示,目的是让转发路径保持端到端 VLAN 独立,而且不会损失任何信息。在交换机外部,标记规则由 ISL 或 802.1Q 等标准规定。ISL 属于思科专有技术,是设备中使用的扩展分组报头的紧凑形式,每个分组总会获得一个标记,没有标识丢失风险,因而可以提高安全性。
802.1Q  IEEE 委员会决定,为实现向下兼容性,最好支持本征 VLAN ,即支持与 802.1Q 链路上任何标记显式不相关的 VLAN 。这种 VLAN 以隐含方式被用于接收802.1Q端口上的所有无标记流量。这项功能是用户所希望的,因为利用这个功能,802.1Q端口可以通过收发无标记流量直接与老 802.3 端口对话。但是,在所有其他情况下,这种功能可能会非常有害,因为通过 802.1Q 链路传输时,与本地 VLAN 相关的分组将丢失其标记。
为此就是应选择未使用的 VLAN 作为所有干道的本地 VLAN ,而且不能将该 VLAN 用于任何其它目的 。 STP、DTP和UDLD等协议应为本地 VLAN 的唯一合法用户,而且其流量应该与所有数据分组完全隔离开。
3、VLAN跳转攻击
VLAN跳转是一种网络攻击方式,指的是终端系统向管理员不允许它访问的VLAN发送数据包,或者接收这个VLAN的数据包。这种攻击的实现方法是为攻击流量打上特定的VLAN ID(VID)标,或者通过协商 Trunk 链路来发送和接收所需 VLAN 的流量。攻击者可以通过使用交换机欺骗或者双层标签的方式,来实现VLAN跳转攻击。
VLAN跳转攻击是指恶意设备试图访问与其配置不同的VLAN。VLAN跳转攻击有两种形式。
一种形式是源于 Catalyst交换机端口的默认配置。Cisco Catalyst交换机的端口上默认启用自动(Auto)模式的链路聚集协议。因此接口在收到DTP帧后就会变为Trunk端口。
第二种形式的 VLAN 跳转攻击即使在交换机接口关闭了链路聚集特性的情况下也可以实施。在这类攻击中,攻击者会发送带有双层802.1Q标签的数据帧。这类攻击需要客户端连接在攻击者所连交换机之外的交换机上。另一个要求是这两台交换机连接的 VLAN,必须与攻击者所连的交换机端口的 VLAN 相同,或者与交换机和被攻击VLAN之间的 Trunk 端口上的Native VLAN 相同。
在建立Trunk端口时,为了防御网络中的VLAN跳转攻击,应对所有交换机端口和参数进行配置。
1、把所有未使用的端口设置为Access端口,使这些链路无法协商链路汇聚协议。
2、把所有未使用的端口设置为关闭(Shutdown)状态,并把它们放入同一个 VLAN中,这个VLAN专门用于未使用端口,因而并不承载任何用户数据流量。