VLANhopping(跳跃攻击)
虚拟局域网跳跃攻击(hoppingattack)的基本方式是以动态中继协议为基础的,在某种情况下还以中继封装协议(trunkingencapsulationprotocol或802.1q)为基础。动态中继协议用于协商两台交换机或者设备之间的链路上的中继以及需要使用的中继封装的类型。
跳跃攻击
百科内容来自于:
简介
常见的VLAN攻击
目前常见的VLAN的攻击有以下几种:
1.802.1Q和ISL标记攻击
标记攻击属于恶意攻击,利用它,一个VLAN上的用户可以非法访问另一个VLAN。例如,如果将交换机端口配置成DTP(DYNAMICTRUNKPROTCOL)auto,用于接收伪造DTP(DYNAMICTRUNKPROTCOL)分组,那么,它将成为干道端口,并有可能接收通往任何VLAN的流量。由此,恶意用户可以通过受控制的端口与其它VLAN通信。有时即便只是接收普通分组,交换机端口也可能违背自己的初衷,像全能干道端口那样操作(例如,从本地以外的其它VLAN接收分组),这种现象通常称为“VLAN渗漏”。
对于这种攻击,只需将所有不可信端口(不符合信任条件)上的DTP(DYNAMICTRUNKPROTCOL)设置为“关”,即可预防这种攻击的侵袭。CiscoCatalyst2950、Catalyst3550、Catalyst4000和Catalyst6000系列交换机上运行的软件和硬件还能够在所有端口上实施适当的流量分类和隔离。
2.双封装802.1Q/嵌套式VLAN攻击
在交换机内部,VLAN数字和标识用特殊扩展格式表示,目的是让转发路径保持端到端VLAN独立,而且不会损失任何信息。在交换机外部,标记规则由ISL或802.1Q等标准规定。
ISL属于思科专有技术,是设备中使用的扩展分组报头的紧凑形式,每个分组总会获得一个标记,没有标识丢失风险,因而可以提高安全性。
另一方面,制订了802.1Q的IEEE委员会决定,为实现向下兼容性,最好支持本征VLAN,即支持与802.1Q链路上任何标记显式不相关的VLAN。这种VLAN以隐含方式被用于接收802.1Q端口上的所有无标记流量。
这种功能是用户所希望的,因为利用这个功能,802.1Q端口可以通过收发无标记流量直接与老802.3端口对话。但是,在所有其他情况下,这种功能可能会非常有害,因为通过802.1Q链路传输时,与本地VLAN相关的分组将丢失其标记,例如丢失其服务等级(802.1p位)。
但是基于这些原因——丢失识别途径和丢失分类信息,就应避免使用本征VLAN,更不要说还有其它原因,,如图1所示。
先剥离,再送回攻击者802.1q帧,VLANA、VLANB数据包含本征VLANA的干道VLANB数据
注意:只有干道所处的本征VLAN与攻击者相同,才会发生作用。
当双封装802.1Q分组恰巧从VLAN与干道的本征VLAN相同的设备进入网络时,这些分组的VLAN标识将无法端到端保留,因为802.1Q干道总会对分组进行修改,即剥离掉其外部标记。删除外部标记之后,内部标记将成为分组的惟一VLAN标识符。因此,如果用两个不同的标记对分组进行双封装,流量就可以在不同VLAN之间跳转。
这种情况将被视为误配置,因为802.1Q标准并不逼迫用户在这些情况下使用本征VLAN。事实上,应一贯使用的适当配置是从所有802.1Q干道清除本地VLAN(将其设置为802.1q-all-tagged模式能够达到完全相同的效果)。在无法清除本地VLAN时,应选择未使用的VLAN作为所有干道的本地VLAN,而且不能将该VLAN用于任何其它目的。STP、DTP(DYNAMICTRUNKPROTCOL)和UDLD等协议应为本地VLAN的唯一合法用户,而且其流量应该与所有数据分组完全隔离开。
VLAN跳跃攻击
VLAN跳跃攻击(VLANhopping)依靠的是动态中继协议(DTP(DYNAMICTRUNKPROTCOL))。如果有两个相互连接的交换机,DTP(DYNAMICTRUNKPROTCOL)就能够对两者进行协商,确定它们要不要成为802.1Q中继,洽商过程是通过检查端口的配置状态来完成的。
VLAN跳跃攻击充分利用了DTP(DYNAMICTRUNKPROTCOL),在VLAN跳跃攻击中,黑客可以欺骗计算机,冒充成另一个交换机发送虚假的DTP(DYNAMICTRUNKPROTCOL)协商消息,宣布它想成为中继;真实的交换机收到这个DTP(DYNAMICTRUNKPROTCOL)消息后,以为它应当启用802.1Q中继功能,而一旦中继功能被启用,通过所有VLAN的信息流就会发送到黑客的计算机上。
中继建立起来后,黑客可以继续探测信息流,也可以通过给帧添加802.1Q信息,指定想把攻击流量发送给哪个VLAN。
VTP攻击
VLAN中继协议(VTP,VLANTrunkProtocol)是一种管理协议,它可以减少交换环境中的配置数量。就VTP而言,交换机可以是VTP服务器、VTP客户端或者VTP透明交换机,这里着重讨论VTP服务器和VTP客户端。用户每次对工作于VTP服务器模式下的交换机进行配置改动时,无论是添加、修改还是移除VLAN,VTP配置版本号都会增加1,VTP客户端看到配置版本号大于目前的版本号后,就自动与VTP服务器进行同步。
恶意黑客可以让VTP为己所用,移除网络上的所有VLAN(除了默认的VLAN外),这样他就可以进入其他每个用户所在的同一个VLAN上。不过,用户可能仍在不同的网段,所以恶意黑客就需要改动他的IP地址,才能进入他想要攻击的主机所在的同一个网段。
恶意黑客只要连接到交换机,并在自己的计算机和交换机之间建立一条中继,就可以充分利用VTP。黑客可以发送VTP消息到配置版本号高于当前的VTP服务器,这会导致所有交换机都与恶意黑客的计算机进行同步,从而把所有非默认的VLAN从VLAN数据库中移除出去。
$firstVoiceSent
- 来自原声例句