在VLAN中可能遇到的攻击方式(一)

日期: 2011-12-27 来源:TechTarget中国

  VLAN(虚拟局域网)是一群尽管所处物理位置不同,却相互保持通信的主机。VLAN可向用户提供独立的网段,在节省带宽的同时也有利于设备的管理,而且通过VLAN所提供的一些功能还可以帮助企业节省成本。

  VLAN建立在OSI的第二层数据链路层上,尽管OSI的每一层是独立的,但是他们之间是相互关联的。如果某一层出现问题,也必将会影响到其它层的数据传递,VLAN建立在数据链路层上,同其它层一样易于受到攻击。

  VLAN所面临的安全问题

  虽然VLAN适于流量管理但也并非特别安全。下面就列出了一系列VLAN所面临的安全威胁。

  ARP攻击

  ARP(地址解析协议)的工作原理实际是将第三层的IP地址转换成第二层的MAC地址的过程。

  一个恶意用户可以伪造IP地址和MAC地址,然而在ARP协议中却无法核实这些细节,ARP的这种缺陷就造成了安全问题。利用这些伪造的信息,恶意用户就会被误认为是一个合法的用户,他们不仅可以随意使用网络中的资源,甚至可以在VLAN的设备中发送ARP数据包。

  更有甚者,恶意攻击者可以通过此缺陷制造中间人攻击。当一个网络设备被标示成另一个网络设备,例如默认网关之类,中间人攻击就可能会发生了,在这种情况下我们也是无法核实这些细节信息的。

  当攻击者发送ARP数据包给目标受害者,这些ARP报文不能被接收器验证,这是因为接收的ARP表其实已经是经过攻击者伪造的信息了。这个时候,攻击者就可以接收到这个返回消息的设备的有关信息了,甚至还可以试图接收到其他网络设备的信息。最后,攻击者会将ARP表和网络设备恢复正常。

  像Arpspoof,Arpoison,Cain and Abel,和Ettercap,Trapper(这个工具的创作灵感不少都来自于著名的Cain)这些工具都可以执行ARP欺骗。

  对付ARP攻击的一个有效策略就是动态ARP监测(DAI)。DAI是一种验证网络中所有ARP数据包的安全功能,它可将ARP数据中的IP地址和MAC地址都丢掉。

  VLAN中的DAI状态(CISCO中的DHCP环境)

  进入全局配置指令

  Router# configure terminal

  通过使用iparp检查Vlan{vlan_id|vlan_range} ,在全局配置中允许在VLAN中使用DAI

  Router(config)# iparp inspection vlan {vlan_ID |vlan_range}

  最后,验证配置

  Router(config-if)# do show iparp inspection vlan {vlan_ID |vlan_range} | begin Vlan

  MAC泛洪攻击

  MAC泛洪攻击是VLAN攻击中常见的一种。在MAC泛洪攻击中,交换机内充斥的不同的MAC地址,这些地址信息消耗了交换机中大多数内存空间。在这种情况下,交换机就变成了”hub”开始与大家分享所有端口的数据了。所以,通过这种方法,攻击者就可以用数据嗅探器搜集敏感数据了。

  举个例子,比如有3三个工作站,分别是WA,WB和WC。当我们试图用WA给WB发送一条数据,因为交换机的缘故WC是看不见这条信息的。现在,把攻击者看作是WC,它开始在交换机内用不同的MAC地址来制造MAC泛洪攻击,交换机的内容被耗光了,然后交换机就像HUB一样开始收发信息了,当WA再次向WB发送数据时,WC能很容易地看到它们之间传送的信息了。

  在VLAN中,MAC泛洪攻击防范的最佳方法是配置静态安全MAC地址。这个需要进行手动配置,具体操作方法是使用命令”switchport port-security mac-address mac-address interface”。另一种防范MAC泛洪攻击的方法便是限制端口接受MAC地址的数量。

  DHCP攻击

  DHCP(动态主机设置协议)可以是服务器自动分配IP地址、子网掩码、默认网关等信息给主机。在VLAN中有两种类型的DHCP攻击,一种是DHCP耗竭攻击(DHCP starvation Attack),另一种是DHCP欺骗攻击(DHCP rogue attack)。

  DHCP耗竭攻击:攻击者使用伪造的MAC地址发送大量的DHCP请求。这会导致DHCP服务器发生拒绝服务的情况,这样,正常的用户就无法使用网络了。通过限制MAC地址的数量可以避免这个情况的发生。

  DHCP欺骗攻击:攻击者可以伪装成一个DHCP服务器,然后向正常用户提供错误的网关、错误的DNS和错误的IP,那么用户就会遇到许多问题,比如连接问题和与其它主机通信的问题。通过使用有选择性丢包功能的多层交换机,可以防范此攻击。

  可以实现这类攻击的工具是Yersinia。它是一种网络工具,可以发现许多协议的漏洞,同时它也可以用来进行生成树协议攻击。

  生成树协议攻击

  攻击者使用零优先级发送一条STP(Spanning-Tree Protocol,生成树协议)消息,创建一个新的根桥接,从而破坏整个网络,这就是著名的生成树协议攻击。在用户界面上禁用生成树功能可以避免这个攻击,也可以在思科设备上进行Root Guard配置或在用户端口上设置DPDU Guard功能,禁止使用零优先级值,这样攻击者也就不能获得根桥接了。

  在操作系统中使用Root Guard

  vega> (enable) set spantree guard root 1/1 Rootguard on port 1/1 is enabled.

  Warning!! Enabling rootguard may result in a topology change. vega> (enable)

  在操作系统中使用DPDU guard

  Console> (enable) set spantreeportfastbpdu-guard enablevSpantreeportfastbpdu-guard enabled on this switch.(在交换机上激活Spantreeportfastbpdu-guard) Console> (enable)

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐