vlan hopping

VLAN hopping（跳躍攻擊）

虛擬區域網路跳躍攻擊（hopping attack）是一種網路攻擊方式，指的是惡意設備通過為攻擊流量打上特定的VLAN ID(VID)標，或者協商Trunk鏈路試圖訪問或者接收與其配置不同的VLAN的流量。

目前常見的VLAN的攻擊有以下幾種：

包括802.1Q 和 ISL 標記攻擊。

標記攻擊屬於惡意攻擊，利用它，一個 VLAN 上的用戶可以非法訪問另一個 VLAN 。例如，如果將交換機連線埠配置成 DTP(DYNAMIC TRUNK PROTCOL) auto ，用於接收偽造 DTP(DYNAMIC TRUNK PROTCOL) 分組，那么，它將成為幹道連線埠，並有可能接收通往任何 VLAN 的流量。由此，惡意用戶可以通過受控制的連線埠與其它 VLAN 通信。 有時即便只是接收普通分組，交換機連線埠也可能違背自己的初衷，像全能幹道連線埠那樣操作(例如，從本地以外的其它 VLAN 接收分組)，這種現象通常稱為“VLAN 滲漏”。

對於這種攻擊，只需將所有不可信連線埠(不符合信任條件)上的 DTP(DYNAMIC TRUNK PROTCOL) 設定為“關”，即可預防這種攻擊的侵襲。 Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4000 和 Catalyst 6000 系列交換機上運行的軟體和硬體還能夠在所有連線埠上實施適當的流量分類和隔離。

雙封裝 802.1Q/ 嵌套式 VLAN 攻擊

在交換機內部， VLAN 數字和標識用特殊擴展格式表示，目的是讓轉發路徑保持端到端 VLAN 獨立，而且不會損失任何信息。在交換機外部，標記規則由 ISL 或 802.1Q 等標準規定。

ISL 屬於思科專有技術，是設備中使用的擴展分組報頭的緊湊形式，每個分組總會獲得一個標記，沒有標識丟失風險，因而可以提高安全性。

另一方面，制訂了 802.1Q 的 IEEE 委員會決定，為實現向下兼容性，最好支持本徵 VLAN ，即支持與 802.1Q 鏈路上任何標記顯式不相關的 VLAN 。這種 VLAN 以隱含方式被用於接收802.1Q連線埠上的所有無標記流量。

這種功能是用戶所希望的，因為利用這個功能，802.1Q連線埠可以通過收發無標記流量直接與老 802.3 連線埠對話。但是，在所有其他情況下，這種功能可能會非常有害，因為通過 802.1Q 鏈路傳輸時，與本地 VLAN 相關的分組將丟失其標記，例如丟失其服務等級( 802.1p 位)。

但是基於這些原因——丟失識別途徑和丟失分類信息，就應避免使用本徵 VLAN ，更不要說還有其它原因，，如圖1所示。

先剝離，再送回攻擊者 802.1q 幀 ，VLAN A、 VLAN B 數據包含本徵VLAN A 的幹道 VLAN B 數據

注意： 只有幹道所處的本徵 VLAN 與攻擊者相同，才會發生作用。

當雙封裝 802.1Q 分組恰巧從 VLAN與幹道的本徵 VLAN 相同的設備進入網路時，這些分組的 VLAN 標識將無法端到端保留，因為 802.1Q 幹道總會對分組進行修改，即剝離掉其外部標記。刪除外部標記之後，內部標記將成為分組的惟一 VLAN 標識符。因此，如果用兩個不同的標記對分組進行雙封裝，流量就可以在不同 VLAN 之間跳轉。

這種情況將被視為誤配置，因為 802.1Q 標準並不逼迫用戶在這些情況下使用本徵 VLAN 。事實上，應一貫使用的適當配置是從所有 802.1Q 幹道清除本地 VLAN (將其設定為 802.1q-all-tagged 模式能夠達到完全相同的效果)。在無法清除本地 VLAN 時， 應選擇未使用的 VLAN 作為所有幹道的本地 VLAN ，而且不能將該 VLAN 用於任何其它目的 。 STP、DTP(DYNAMIC TRUNK PROTCOL)和UDLD等協定應為本地 VLAN 的唯一合法用戶，而且其流量應該與所有數據分組完全隔離開。

虛擬區域網路(VLAN)是對廣播域進行分段的方法。VLAN還經常用於為網路提供額外的安全，因為一個VLAN上的計算機無法與沒有明確訪問權的另一個VLAN上的用戶進行對話。不過VLAN本身不足以保護環境的安全，惡意黑客通過VLAN跳躍攻擊，即使未經授權，也可以從一個VLAN跳到另一個VLAN。

VLAN跳躍攻擊(VLAN hopping)依靠的是動態中繼協定(DTP(DYNAMIC TRUNK PROTCOL))。如果有兩個相互連線的交換機，DTP(DYNAMIC TRUNK PROTCOL)就能夠對兩者進行協商，確定它們要不要成為802.1Q中繼，洽商過程是通過檢查連線埠的配置狀態來完成的。

VLAN跳躍攻擊充分利用了DTP(DYNAMIC TRUNK PROTCOL)，在VLAN跳躍攻擊中，黑客可以欺騙計算機，冒充成另一個交換機傳送虛假的DTP(DYNAMIC TRUNK PROTCOL)協商訊息，宣布它想成為中繼; 真實的交換機收到這個DTP(DYNAMIC TRUNK PROTCOL)訊息後，以為它應當啟用802.1Q中繼功能，而一旦中繼功能被啟用，通過所有VLAN的信息流就會傳送到黑客的計算機上。

中繼建立起來後，黑客可以繼續探測信息流，也可以通過給幀添加802.1Q信息，指定想把攻擊流量傳送給哪個VLAN。

VLAN中繼協定(VTP,VLAN Trunk Protocol)是一種管理協定，它可以減少交換環境中的配置數量。就VTP而言，交換機可以是VTP伺服器、VTP客戶端或者VTP透明交換機，這裡著重討論VTP伺服器和VTP客戶端。用戶每次對工作於VTP伺服器模式下的交換機進行配置改動時，無論是添加、修改還是移除VLAN，VTP配置版本號都會增加1，VTP客戶端看到配置版本號大於目前的版本號後，就自動與VTP伺服器進行同步。

惡意黑客可以讓VTP為己所用，移除網路上的所有VLAN(除了默認的VLAN外)，這樣他就可以進入其他每個用戶所在的同一個VLAN上。不過，用戶可能仍在不同的網段，所以惡意黑客就需要改動他的IP位址，才能進入他想要攻擊的主機所在的同一個網段。

惡意黑客只要連線到交換機，並在自己的計算機和交換機之間建立一條中繼，就可以充分利用VTP。黑客可以傳送VTP訊息到配置版本號高於當前的VTP伺服器，這會導致所有交換機都與惡意黑客的計算機進行同步，從而把所有非默認的VLAN從VLAN資料庫中移除出去。