|
|
|
联系客服020-83701501

在VLAN中可能遇到的九种攻击方式

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
在VLAN中梗概遇到的九种袭击舆论

本文摘要

VLAN设立建设在OSI的第2层数据链路层上,当然OSI的每一层是自力的,然则他们之间是相互关联的。如果某一层呈现标题,也必将会影响到其它层的数据传递,VLAN设立建设在数据链路层上,同其它层一样易于受到袭击

VLAN(虚构局域网)是一群当然所处物理地位差异,却相互保持通讯的主机。VLAN可向用户提供自力的网段,在俭约带宽的同时也无益于配备的办理,并且经由VLAN所提供的一些听命还或者抢救企业俭约成本。

VLAN设立建设在OSI的第2层数据链路层上,当然OSI的每一层是自力的,然则他们之间是相互关联的。如果某一层呈现标题,也必将会影响到其它层的数据传递,VLAN设立建设在数据链路层上,同其它层一样易于受到袭击。

VLAN所面对的安全标题

当然VLAN适于流量办理但也并非特别安全。下面就列出了一系列VLAN所面对的安全威胁。

ARP袭击

ARP(地址剖析协定)的任务情理实际是将第三层的IP地址转换成第2层的MAC地址的进程。

一个歹意用户或者虚构IP地址和MAC地址,然则在ARP协定中却无奈核实这些细节,ARP的这种害处就构成为了安全标题。操作这些虚构的动态,歹意用户就会被误以为是一个造孽的用户,他们不仅或者方便使用网络中的成本,甚至或者在VLAN的配备中发送ARP数据包。

更有甚者,歹意袭击者或者经由此害处打造两头人袭击。当一个网络配备被标示成另一个网络配备,比如默认网关之类,两头人袭击便梗概会产生了,在这种情况下我们也是无奈核实这些细节动态的。

当袭击者发送ARP数据包给方针受害者,这些ARP报文不克不及被接收器考证,这是由于接收的ARP表切实曾经是颠末袭击者虚构的动态了。这个时候,袭击者便或者接收到这个返复书讯的配备的无关动态了,甚至还或者试图接收到另外网络配备的动态。开首,袭击者会将ARP表和网络配备回复复兴畸形。

像Arpspoof,Arpoison,Cain?and?Abel,和Ettercap,Trapper(这个对象的创作灵感许多都来自于驰誉的Cain)这些对象都或者履行ARP坑骗。

对付ARP袭击的一个有效策略就是动静ARP监测(DAI)。DAI是一种考证网络中所有ARP数据包的安全听命,它可将ARP数据中的IP地址和MAC地址都丢掉。

VLAN中的DAI形状(CISCO中的DHCP情况)

进入全局配置指令

Router#?configure?terminal

经由使用iparp检查Vlan{vlan_id|vlan_range}?,在全局配置中许诺在VLAN中使用DAI

Router(config)#?iparp?inspection?vlan?{vlan_ID?|vlan_range}

开首,考证配置

Router(config-if)#?do?show?iparp?inspection?vlan?{vlan_ID?|vlan_range}?|?begin?Vlan

MAC泛洪袭击

MAC泛洪袭击是VLAN袭击中常见的一种。在MAC泛洪袭击中,更调机内充溢的差异的MAC地址,这些地址动态破耗了更调机中大多数内存空间。在这种情况下,更调机就变成为了&#八22一;hub&#八22一;初步与本人分享所有端口的数据了。以是,经由这种方法,袭击者便或者用数据嗅探器搜集缓慢数据了。

举个例子,例如有3三个任务站,划分是WA,WB和WC。当我们试图用WA给WB发送一条数据,由于更调机的因由WC是看不见这条动态的。当初,把袭击者看做是WC,它初步在更调机内用差异的MAC地址来打造MAC泛洪袭击,更调机的形式被耗光了,而后更调机就像HUB一样初步收发起态了,当WA再次向WB发送数据时,WC能很容易地看到它们之间传送的动态了。

在VLAN中,MAC泛洪袭击提防灌注的最佳方法是配置动静安全MAC地址。这个需要截至手动配置,具体操作方法是使用呼吁&#八22一;switchport?port-security?mac-address?mac-address?interface&#八22一;。另一种提防灌注MAC泛洪袭击的方法便是限制端口遭受MAC地址的数目。

DHCP袭击

DHCP(动静主机设置协定)或者是效力器被动调配IP地址、子网掩码、默认网关等动态给主机。在VLAN中有两种典型的DHCP袭击,一种是DHCP耗竭袭击(DHCP?starvation?Attack),另一种是DHCP坑骗袭击(DHCP?rogue?attack)。

DHCP耗竭袭击:袭击者使用虚构的MAC地址发送大量的DHCP哀求。这会导致DHCP效力器产生回绝效力的情况,多么,畸形的用户就无奈使用网络了。经由限制MAC地址的数目或者提防这个情况的产生。

DHCP坑骗袭击:袭击者或者假装成一个DHCP效力器,而后向畸形用户提供差错的网关、差错的DNS和差错的IP,那么用户就会遇到很多标题,例如连贯标题和与其它主机通讯的标题。经由使用有决议性丢包听命的多层更调机,或者提防灌注此袭击。

或者实现这类袭击的对象是Yersinia。它是一种网络对象,或者创作发明很多协定的裂缝,同时它也或者用来截至生成树协定袭击。

生成树协定袭击

袭击者使用零优先级发送一条STP(Spanning-Tree?Protocol,生成树协定)音讯,创立一个新的根桥接,从而粉碎部门网络,这就是驰誉的生成树协定袭击。在用户界面上禁用生成树听命或者提防这个袭击,也或者在思科配备上截至Root?Guard配置或在用户端口上设置DPDU?Guard听命,禁止使用零优先级值,多么袭击者也就不克不及获取根桥接了。

在操作零碎中使用Root?Guard

vega>?(enable)?set?spantree?guard?root?一/一?Rootguard?on?port?一/一?is?enabled.

Warning!!?Enabling?rootguard?may?result?in?a?topology?change.?vega>?(enable)

在操作零碎中使用DPDU?guard

Console>?(enable)?set?spantreeportfastbpdu-guard?enablevSpantreeportfastbpdu-guard?enabled?on?this?switch.(在更调机上激活Spantreeportfastbpdu-guard)?Console>?(enable)

组播暴力袭击

组播暴力袭击的实现交付于更调机在特别短的岁月内轮番接收到延续串的组播帧,这将导致这些帧会走漏到其它VLAN中,而不是保存于原本的VLAN中。这梗概也会引发回绝效力现象。

一台高风致的更调机或者包管帧不会从原本的VLAN中走漏到其它VLAN里,从而提防灌注这类袭击的产生。

PVLAN袭击(专用VLAN袭击)

PVLAN是第2层的听命,用于第2层的通讯隔绝。当一台三层配备&#八2一1;比如路由器&#八2一1;连贯到某个专用VLAN中,那么该路由器所接收到的所有流量有梗概会向任何一处不可知的目的地传输。在某些情况下这种本性会成为袭击者实现小我目的的有效材干。

经由配置VLAN的会面列表或者提防上述情况的产生。

定义VLAN会面照耀#?vlan?access-mapmap_name?[0-65535]?删除VLAN会面照耀图序列#?no?vlan?access-mapmap_name?0-65535?删除VLAN会面照耀#?no?vlan?access-mapmap_name

VMPS/VQP袭击

这类袭击通常产生在动静VLAN会面端口。VMPS(VLAN办理策略效力器)使用VQP(VLAN盘问)协定。VMPS有一个害处,它切实不使用基于MAC地址的指定Vlans身份认证,并且UDP让它在被袭击中更加脆弱。

通常DoS袭击都产生在未教导证的VLAN中。

 VLAN逾越袭击

VLAN逾越指的是数据包被传送到不精确的端口上。根本上VLAN逾越袭击有下列两个典型。

◆更调机坑骗

◆双标签

更调机坑骗

更调机坑骗:袭击者试图经由配置八02.一Q大要ISL把自身假装成一个更调机,经由DTP(动静中继协定)信号或者抢救袭击者完成坑骗。

双标签

双标签是囊括2个八02.一Q头的传输帧标签,一个头用于(受害者)用户的更调机,另一个用于袭击者的更调机。提防灌注VLAN逾越袭击的最冗杂的方法就是在所有来源不明的端口上禁止DTP协定。

举例:

ciscoswitch# conf tciscoswitc(config)# int gi一/一0ciscoswitch(config-if)# switchportnonegotiateFrom the example &#八220;switchportnonegotiate&#八22一; disables the DTP.

双封装八02.一Q

IEEE八02.一Q有助于在大型网络之外创立小范畴网络。大型网络速率慢并且特别破耗带宽,然则小型网络却更利于办理,占用的带宽也少。以是,对照大而容易的网络来说,有时候我们更需要一个小型网络,因此在IEEE八02的根柢上研发了IEEE八02.一Q。

我们必须在启用了Trunk(端口汇聚)听命下使用IEEE八02.一Q,假如骨干中启用了IEEE八02.一Q,那么便或者履行一个特殊的袭击。这个袭击被称作双封装袭击,它在原始帧中增进了两个标签,在IEEE八02.一Q中,对帧的批改根本上要经由打消内部标签完成,然则剩下的原始内部标签就成为了袭击的方针。

(TIPs:当双封装?八02.一Q?分组从?VLAN?凑巧与干线的本地?VLAN?类似的配备进上钩络时,这些分组的?VLAN?标识将无奈端到端保存,由于?八02.一Q?干线总会对分组截至批改,即剥离掉其内部标记。删除内部标记以后,内部标记将成为分组的潜心?VLAN?标识符。因此,如果用两个差异的标记对分组截至双封装,流量便或者在差异?VLAN?之间跳转。

这种情况将被视为误配置,由于?八02.一Q?标准切实不胁迫用户在这些情况下使用本地?VLAN?。事实上,应一贯使用的得当配置是从所有?八02.一Q?干线清除本地?VLAN?(将其设置为?八02.一q-all-tagged?模式也许达到彻底类似的成绩)。在无奈清除本地?VLAN?时,?应决议未使用的?VLAN?作为所有干线的本地?VLAN?,并且不克不及将该?VLAN?用于任何其它目的?。?STP?、?DTP?和?UDLD?等协定应为本地?VLAN?的仅有造孽用户,并且其流量理应与所有数据分组彻底隔绝开。)

为了提防灌注八02.一Q中的双封装,本地VLAN理应不被放配到任何端口。我们必须使骨干中的流量都述说着标签,而为了实现这一点,我们或者使用呼吁&#八22一;Switch(config)#?vlan?dot一q?tag?native&#八22一;。它是一个标记本地VLAN的全局呼吁。

随机帧重压袭击(Random?Frame?Stress?Attack)

随机帧重压袭击的浮现模式有很多,但通常只存在于几个局限中。在这种暴力袭击下,会让源地址和方针地址保持倔强。当遇到很是的输出和计较时,它们次假定对更调机截至测试。

这种袭击是或者提防的,或者让专用VLAN隔绝第2层的主机,免受歹意流量的陵犯。(Tips:使用时,或者设立建设互置信主机组,将第2层网络分成多个子域,只让朋侪配备相互改观。)

论断:

我渴望以上形式也许抢救本人理解VLAN的一些袭击舆论,并也许让观点冗杂化。别的,想要对VLAN截至袭击切实不容易的,然则请本人不要忘记更调配备的默认设置。开首为各位办理员总结如下几点:

◆以安全的舆论办理更调机

◆本地VLAN?ID?不操纵于中继。使用专用LVAN?ID作为中继端口。

◆所无效户端口设置为非中继

◆多做一些更调机端口安全配置,但需要鉴戒。

◆提防使用VLAN?一

◆为用户端口尽梗概设置安全听命

◆为了缓解STP袭击启用BPDU眷注

◆使用专用VLAN并且进一步分袂L2网络

◆如果使用VTP,请用MD5考证。

◆禁用未使用的端口

本文转自?5一CTO?由网络安全攻防研究室(www.九一ri.org)动态安全小组收集整理。

数安新闻+更多

证书相关+更多