虛擬區域網路(VLAN)是對廣播域進行分段的方法。VLAN還經常用於為網路提供額外的安全,因為一個VLAN上的計算機無法與沒有明確訪問權的另一個VLAN上的用戶進行對話。不過VLAN本身不足以保護環境的安全,惡意黑客通過VLAN跳躍攻擊,即使未經授權,也可以從一個VLAN跳到另一個VLAN。
基本介紹
- 中文名:跳躍攻擊
- 外文名:VLANhopping
- 別稱:未經授權,也可以從一個VLAN跳到另一個VLAN
- 提出者:虛擬區域網路
簡介,常見的VLAN攻擊,VLAN跳躍攻擊,VTP攻擊,
簡介
VLANhopping(跳躍攻擊)
虛擬區域網路跳躍攻擊(hoppingattack)的基本方式是以動態中繼協定為基礎的,在某種情況下還以中繼封裝協定(trunkingencapsulationprotocol或802.1q)為基礎。動態中繼協定用於協商兩台交換機或者設備之間的鏈路上的中繼以及需要使用的中繼封裝的類型。
常見的VLAN攻擊
目前常見的VLAN的攻擊有以下幾種:
1.802.1Q和ISL標記攻擊
標記攻擊屬於惡意攻擊,利用它,一個VLAN上的用戶可以非法訪問另一個VLAN。例如,如果將交換機連線埠配置成DTP(DYNAMICTRUNKPROTCOL)auto,用於接收偽造DTP(DYNAMICTRUNKPROTCOL)分組,那么,它將成為幹道連線埠,並有可能接收通往任何VLAN的流量。由此,惡意用戶可以通過受控制的連線埠與其它VLAN通信。有時即便只是接收普通分組,交換機連線埠也可能違背自己的初衷,像全能幹道連線埠那樣操作(例如,從本地以外的其它VLAN接收分組),這種現象通常稱為“VLAN滲漏”。
對於這種攻擊,只需將所有不可信連線埠(不符合信任條件)上的DTP(DYNAMICTRUNKPROTCOL)設定為“關”,即可預防這種攻擊的侵襲。CiscoCatalyst2950、Catalyst3550、Catalyst4000和Catalyst6000系列交換機上運行的軟體和硬體還能夠在所有連線埠上實施適當的流量分類和隔離。
2.雙封裝802.1Q/嵌套式VLAN攻擊
在交換機內部,VLAN數字和標識用特殊擴展格式表示,目的是讓轉發路徑保持端到端VLAN獨立,而且不會損失任何信息。在交換機外部,標記規則由ISL或802.1Q等標準規定。
ISL屬於思科專有技術,是設備中使用的擴展分組報頭的緊湊形式,每個分組總會獲得一個標記,沒有標識丟失風險,因而可以提高安全性。
另一方面,制訂了802.1Q的IEEE委員會決定,為實現向下兼容性,最好支持本徵VLAN,即支持與802.1Q鏈路上任何標記顯式不相關的VLAN。這種VLAN以隱含方式被用於接收802.1Q連線埠上的所有無標記流量。
這種功能是用戶所希望的,因為利用這個功能,802.1Q連線埠可以通過收發無標記流量直接與老802.3連線埠對話。但是,在所有其他情況下,這種功能可能會非常有害,因為通過802.1Q鏈路傳輸時,與本地VLAN相關的分組將丟失其標記,例如丟失其服務等級(802.1p位)。
但是基於這些原因——丟失識別途徑和丟失分類信息,就應避免使用本徵VLAN,更不要說還有其它原因,,如圖1所示。
先剝離,再送回攻擊者802.1q幀,VLANA、VLANB數據包含本徵VLANA的幹道VLANB數據
注意:只有幹道所處的本徵VLAN與攻擊者相同,才會發生作用。
當雙封裝802.1Q分組恰巧從VLAN與幹道的本徵VLAN相同的設備進入網路時,這些分組的VLAN標識將無法端到端保留,因為802.1Q幹道總會對分組進行修改,即剝離掉其外部標記。刪除外部標記之後,內部標記將成為分組的惟一VLAN標識符。因此,如果用兩個不同的標記對分組進行雙封裝,流量就可以在不同VLAN之間跳轉。
這種情況將被視為誤配置,因為802.1Q標準並不逼迫用戶在這些情況下使用本徵VLAN。事實上,應一貫使用的適當配置是從所有802.1Q幹道清除本地VLAN(將其設定為802.1q-all-tagged模式能夠達到完全相同的效果)。在無法清除本地VLAN時,應選擇未使用的VLAN作為所有幹道的本地VLAN,而且不能將該VLAN用於任何其它目的。STP、DTP(DYNAMICTRUNKPROTCOL)和UDLD等協定應為本地VLAN的唯一合法用戶,而且其流量應該與所有數據分組完全隔離開。
VLAN跳躍攻擊
VLAN跳躍攻擊(VLANhopping)依靠的是動態中繼協定(DTP(DYNAMICTRUNKPROTCOL))。如果有兩個相互連線的交換機,DTP(DYNAMICTRUNKPROTCOL)就能夠對兩者進行協商,確定它們要不要成為802.1Q中繼,洽商過程是通過檢查連線埠的配置狀態來完成的。
VLAN跳躍攻擊充分利用了DTP(DYNAMICTRUNKPROTCOL),在VLAN跳躍攻擊中,黑客可以欺騙計算機,冒充成另一個交換機傳送虛假的DTP(DYNAMICTRUNKPROTCOL)協商訊息,宣布它想成為中繼;真實的交換機收到這個DTP(DYNAMICTRUNKPROTCOL)訊息後,以為它應當啟用802.1Q中繼功能,而一旦中繼功能被啟用,通過所有VLAN的信息流就會傳送到黑客的計算機上。
中繼建立起來後,黑客可以繼續探測信息流,也可以通過給幀添加802.1Q信息,指定想把攻擊流量傳送給哪個VLAN。
VTP攻擊
VLAN中繼協定(VTP,VLANTrunkProtocol)是一種管理協定,它可以減少交換環境中的配置數量。就VTP而言,交換機可以是VTP伺服器、VTP客戶端或者VTP透明交換機,這裡著重討論VTP伺服器和VTP客戶端。用戶每次對工作於VTP伺服器模式下的交換機進行配置改動時,無論是添加、修改還是移除VLAN,VTP配置版本號都會增加1,VTP客戶端看到配置版本號大於目前的版本號後,就自動與VTP伺服器進行同步。
惡意黑客可以讓VTP為己所用,移除網路上的所有VLAN(除了默認的VLAN外),這樣他就可以進入其他每個用戶所在的同一個VLAN上。不過,用戶可能仍在不同的網段,所以惡意黑客就需要改動他的IP位址,才能進入他想要攻擊的主機所在的同一個網段。
惡意黑客只要連線到交換機,並在自己的計算機和交換機之間建立一條中繼,就可以充分利用VTP。黑客可以傳送VTP訊息到配置版本號高於當前的VTP伺服器,這會導致所有交換機都與惡意黑客的計算機進行同步,從而把所有非默認的VLAN從VLAN資料庫中移除出去。
