在VLAN中可能遇到的攻击方式(二)

日期: 2011-12-27 来源:TechTarget中国

  组播暴力攻击

  组播暴力攻击的实现依赖于交换机在非常短的时间内轮番接收到一连串的组播帧,这将导致这些帧会泄漏到其它VLAN中,而不是保留于原有的VLAN中。这可能也会引发拒绝服务现象。

  一台高品质的交换机可以保证帧不会从原本的VLAN中泄漏到其它VLAN里,从而防止这类攻击的发生。

  PVLAN攻击(专用VLAN攻击)

  PVLAN是第二层的功能,用于第二层的通信隔离。当一台三层设备–例如路由器–连接到某个专用VLAN中,那么该路由器所接收到的所有流量有可能会向任何一处不可知的目的地传输。在某些情况下这种特性会成为攻击者实现个人目的的有效手段。

  通过配置VLAN的访问列表可以预防上述情况的发生。

  定义VLAN访问映射

  # vlan access-mapmap_name [0-65535]

  删除VLAN访问映射图序列

  # no vlan access-mapmap_name 0-65535

  删除VLAN访问映射

  # no vlan access-mapmap_name

  VMPS/VQP攻击

  这类攻击通常发生在动态VLAN访问端口。VMPS(VLAN管理策略服务器)使用VQP(VLAN查询)协议。VMPS有一个缺陷,它并不使用基于MAC地址的指定Vlans身份认证,而且UDP让它在被攻击中更加脆弱。

  通常DoS攻击都发生在未经验证的VLAN中。

  VLAN跨越攻击

  VLAN跨越指的是数据包被传送到不正确的端口上。基本上VLAN跨越攻击有如下两个类型。

  ◆交换机欺骗

  ◆双标签

  交换机欺骗

  交换机欺骗:攻击者试图通过配置802.1Q或者ISL把自己伪装成一个交换机,通过DTP(动态中继协议)信号可以帮助攻击者完成欺骗。

  双标签

  双标签是包括2个802.1Q头的传输帧标签,一个头用于(受害者)用户的交换机,另一个用于攻击者的交换机。防止VLAN跨越攻击的最简单的方法就是在所有来历不明的端口上禁止DTP协议。

  举例:

  ciscoswitch# conf t

  ciscoswitc(config)# int gi1/10

  ciscoswitch(config-if)# switchportnonegotiate

  From the example “switchportnonegotiate” disables the DTP.双封装802.1Q

  IEEE802.1Q有助于在大型网络之外创建小规模网络。大型网络速度慢而且非常消耗带宽,然而小型网络却更利于管理,占用的带宽也少。所以,相比大而复杂的网络来说,有时候我们更需要一个小型网络,因此在IEEE802的基础上研发了IEEE802.1Q。

  我们必须在启用了Trunk(端口汇聚)功能下使用IEEE802.1Q,假设主干中启用了IEEE802.1Q,那么就可以执行一个特殊的攻击。这个攻击被称作双封装攻击,它在原始帧中增加了两个标签,在IEEE802.1Q中,对帧的修改基本上要通过消除外部标签完成,然而剩下的原始内部标签就成为了攻击的目标。

  (注意:当双封装 802.1Q 分组从 VLAN 恰巧与干线的本地 VLAN 相同的设备进入网络时,这些分组的 VLAN 标识将无法端到端保留,因为 802.1Q 干线总会对分组进行修改,即剥离掉其外部标记。删除外部标记之后,内部标记将成为分组的惟一 VLAN 标识符。因此,如果用两个不同的标记对分组进行双封装,流量就可以在不同 VLAN 之间跳转。

  这种情况将被视为误配置,因为 802.1Q 标准并不逼迫用户在这些情况下使用本地 VLAN 。事实上,应一贯使用的适当配置是从所有 802.1Q 干线清除本地 VLAN (将其设置为 802.1q-all-tagged 模式能够达到完全相同的效果)。在无法清除本地 VLAN 时, 应选择未使用的 VLAN 作为所有干线的本地 VLAN ,而且不能将该 VLAN 用于任何其它目的 。 STP 、 DTP 和 UDLD 等协议应为本地 VLAN 的唯一合法用户,而且其流量应该与所有数据分组完全隔离开。)

  为了防止802.1Q中的双封装,本地VLAN应该不被放配到任何端口。我们必须使主干中的流量都携带着标签,而为了实现这一点,我们可以使用命令”Switch(config)# vlan dot1q tag native”。它是一个标记本地VLAN的全局命令。

  随机帧重压攻击(Random Frame Stress Attack)

  随机帧重压攻击的表现形式有很多,但通常只存在于几个领域中。在这种暴力攻击下,会让源地址和目标地址保持不变。当遇到异常的输入和计算时,它们主要是对交换机进行测试。

  这种攻击是可以预防的,可以让专用VLAN隔离第二层的主机,免受恶意流量的侵害。(Tips:使用时,可以建立互信任主机组,将第二层网络分成多个子域,只让友好设备相互交流。)

  结论:

  我希望以上内容能够帮助大家了解VLAN的一些攻击方式,并能够让概念简单化。另外,想要对VLAN进行攻击并不容易的,但是请大家不要忘记更改设备的默认设置。最后为各位管理员总结以下几点:

  ◆以安全的方式管理交换机

  ◆本地VLAN ID 不应用于中继。使用专用LVAN ID作为中继端口。

  ◆所有用户端口设置为非中继

  ◆多做一些交换机端口安全配置,但需要小心。

  ◆避免使用VLAN 1

  ◆为用户端口尽可能设置安全功能

  ◆为了缓解STP攻击启用BPDU保护

  ◆使用专用VLAN并且进一步划分L2网络

  ◆如果使用VTP,请用MD5验证。

  ◆禁用未使用的端口

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • TRILL不适合数据中心网络架构的几大原因

    关于使用TRILL协议来实现数据中心网络桥接和多路径的宣传非常的多,但是将TRILL作为基础的数据中心架构忽略了一些重要的新趋势,包括云网络分段中出现的……

  • OpenFlow能解决私有云网络VLAN问题么?

    OpenFlow将会采用一种全新方法,实现虚拟和物理交换机之间的数据包转发,从而不需要封装、标记和VLAN,但是仍然支持多租赁、VM移动和可扩展性。

  • TT网络12月最受欢迎文章Top5

    寒冬来袭,转眼间2011年就要过去。在这寒冷的12月,你都有哪些收获?网络网站最后为你献上实用的网络技巧、网络案例和网络分析。

  • 在VLAN中可能遇到的攻击方式(一)

    VLAN建立在OSI的第二层数据链路层上,尽管OSI的每一层是独立的,如果某一层出现问题,也必将会影响到其它层的数据传递,本文介绍了VLAN面临的安全威胁。