CCNP学习之路之VLAN Hopping

 VLAN的跳跃攻击(VLAN Hopping):对于网络中有许多的攻击手段,vlan hopping 属于其中的一种,它是根据cisco交换机的动态协商功能,不经过层三设备,跨跃VLAN来进行访问。一般情况下,我们知道不同VLAN 之前互访,必须要通过层三设备,通过使用VLAN HOPPING技术,就可不经过层三设备,就可达到对不同的VLAN进行访问。

对于VLAN HOPPING 就是使用到了所谓二次标签技术,假如一攻击者来自于内网(根据8020原则)。如下图所示:

 

1、攻击者位于VLAN10 中, ATTACK 在把FRAME经过一次标签,即加入INNER ON VLAN20,到达第一个交换机时,第一个交换机与第二个交换机通过TRUNK 把FRAME发给第二个交换机,同时二次标签为OUTTER ON VLAN10。

2.这样当FRAME到达第二个交换机时,这时交换机要把接收到且经过自己标签的FRAME发给具体的PC,这样,第二个交换机会读取内部标签INNER ON VLAN20,这样,通过HOOPING 技术就会不通过层三设备,而完成对不同的VLAN之间的访问。

3.对于这种类型的攻击,根本原因是由于ATTACK处于的端口的模式为DYNAMIC DESIRABLE。解决方法:可作以下的简单设置:

只需要把那个端口在划分VLAN时把那个端口设置为静态接入端口。

Mitigating VLAN Hopping

switch(config)#interface-range type mod/port-port ///selects a range of interfaces to configure                  

switch(config-if)#switchport mode access      /// configure the ports as access ports and turns off DTP

switch(config-if)#switchport access vlan vlan-id   /// statically assigns the ports to specific unused VLAN

 

你可能感兴趣的:(VLAN,ccnp,Hopping)