点上方蓝字关注,每天都有新收获!
学网络,就在IE-LAB
国内高端网络工程师培养基地
VLAN(VirtualLocal Area Network)的中文名为"虚拟局域网"。虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
VLAN攻击手段是基于VLAN技术应用所采取的攻击方式,面对这些花样翻新的攻击手段,如何采取有效的防范措施?
1、802.1Q和ISL标记攻击:
标记攻击属于恶意攻击,利用它,一个VLAN 上的用户可以非法访问另一个 VLAN 。例如,如果将交换机端口配置成 DTP(DYNAMIC TRUNK PROTCOL) auto ,用于接收伪造 DTP(DYNAMICTRUNK PROTCOL) 分组,那么,它将成为干道端口,并有可能接收通往任何 VLAN 的流量。
由此,恶意用户可以通过受控制的端口与其它 VLAN 通信。
对于这种攻击,只需将所有不可信端口上的DTP(DYNAMIC TRUNK PROTCOL) 设置为关闭状态即可。
2、双封装802.1Q/嵌套式VLAN攻击:
在交换机内部, VLAN 数字和标识用特殊扩展格式表示,目的是让转发路径保持端到端 VLAN 独立,而且不会损失任何信息。在交换机外部,标记规则由 ISL 或 802.1Q 等标准规定。ISL 属于思科专有技术,是设备中使用的扩展分组报头的紧凑形式,每个分组总会获得一个标记,没有标识丢失风险,因而可以提高安全性。
802.1Q IEEE 委员会决定,为实现向下兼容性,最好支持本征VLAN ,即支持与 802.1Q 链路上任何标记显式不相关的 VLAN 。这种 VLAN 以隐含方式被用于接收802.1Q端口上的所有无标记流量。这项功能是用户所希望的,因为利用这个功能,802.1Q端口可以通过收发无标记流量直接与老 802.3 端口对话。但是,在所有其他情况下,这种功能可能会非常有害,因为通过 802.1Q 链路传输时,与本地 VLAN 相关的分组将丢失其标记。
为此就是应选择未使用的 VLAN 作为所有干道的本地VLAN ,而且不能将该 VLAN 用于任何其它目的。STP、DTP和UDLD等协议应为本地 VLAN 的唯一合法用户,而且其流量应该与所有数据分组完全隔离开。
3、VLAN跳转攻击
VLAN跳转是一种网络攻击方式,指的是终端系统向管理员不允许它访问的VLAN发送数据包,或者接收这个VLAN的数据包。这种攻击的实现方法是为攻击流量打上特定的VLAN ID(VID)标,或者通过协商 Trunk 链路来发送和接收所需 VLAN 的流量。攻击者可以通过使用交换机欺骗或者双层标签的方式,来实现VLAN跳转攻击。
VLAN跳转攻击是指恶意设备试图访问与其配置不同的VLAN。
VLAN跳转攻击有两种形式:
一种形式是源于 Catalyst交换机端口的默认配置。CiscoCatalyst交换机的端口上默认启用自动(Auto)模式的链路聚集协议。因此接口在收到DTP帧后就会变为Trunk端口。
第二种形式的 VLAN 跳转攻击即使在交换机接口关闭了链路聚集特性的情况下也可以实施。在这类攻击中,攻击者会发送带有双层802.1Q标签的数据帧。这类攻击需要客户端连接在攻击者所连交换机之外的交换机上。
另一个要求是这两台交换机连接的 VLAN,必须与攻击者所连的交换机端口的 VLAN 相同,或者与交换机和被攻击VLAN之间的 Trunk 端口上的Native VLAN 相同。
在建立Trunk端口时,为了防御网络中的VLAN跳转攻击,应对所有交换机端口和参数进行配置。
1、把所有未使用的端口设置为Access端口,使这些链路无法协商链路汇聚协议。
2、把所有未使用的端口设置为关闭(Shutdown)状态,并把它们放入同一个 VLAN中,这个VLAN专门用于未使用端口,因而并不承载任何用户数据流量。
IE-LAB有优质雄厚师资力量支撑,全面的学习平台和完善的教学服务,我们培养了一批又一批的HCIE/CCIE学员,加入我们,成就未来。
往期【网工知识角】技术回顾:
一分钟掌握NFV基本概念,就在网工知识角
三分钟掌握热点路由技术之DLSW,技术详解就在网工知识角
避免引起网络安全问题,6步完成华为设备风暴控制的配置,网工知识角
关于OSPF协议重点学习笔记之OSPFv3和OSPFv2的区别
思科路由协议IGRP和EIGRP超详细总结,了解它们之间的关联和区别
网工知识角|NAT64基本原理概述,它的局限性又有哪些?
快速掌握网络通讯流量资源浪费的环路解决方法,网工知识角
新网工技术一分钟解读Openflow工作原理,网工知识角
网工知识角|用于管理和控制IPv6组播组的MLDsnooping技术详解
网工知识角|快速理解FTP和TFTP的区别,实用收藏
新网工都要了解的无线技术,你却连Mesh网络是什么都不知道?
网工知识角|零基础入门学网络,三分钟掌握DTP协议的五种接口模式
网工知识角|思科全新EI及无线方向你必须要去了解的WLAN漫游技术
网工知识角|基础入门务必掌握这两个常用协议,快速攻克面试难关
网工知识角|技术大牛自检时间到,关于MLD技术你知多少?
网工知识角|不可忽略的三个关键点,确保端口安全配置无误
网工知识角|一分钟搞定802.1x认证配置,了解三种授权模式的区别
快速完成华为IPSG配置一分钟看完即会,网工知识角每天进步一点点
网工知识角|一分钟轻松掌握Mac地址漂移使用的场景
网络工程师技术难点分析MTU和PMTU是什么?就在网工知识角
华为网络初级工程师快速掌握基于MAC地址的VLAN划分实用收藏
网工知识角|华为网络技术面试题详解QOS流量整形令牌桶机制和规则
这样总结隧道Tunnel技术工作原理更容易记住 网络工程师还不收藏?
你知道NAC网络准入控制的5大功能5种类型和3重优点吗?
网工知识角|什么是虚拟化?史上最全云计算基础虚拟化技术各种概念高薪面试必备
网工知识角|网络工程师快收下这份华为MUXVLAN的原理和配置,华为HCIP数通网络实用技术
网工知识角|华为HCIE数通认证基础必学之GVRP协议是什么
网工知识角|CCIE网络工程师安全基础之AAA认证的三个基本组件
网工知识角|EI CCIE企业网软定义中的VxLAN分布式网关两种部署方式
网工知识角|关于OSPF V3你了解吗?不懂没关系,收下这份配置
纯干货网工知识角|入门IT网络工程师收下这份关于NTP网络时间协议解读
学思科和华为都需要掌握之网络安全技术防火墙的4种分类,网工知识角
网工知识角|信息安全入门反病毒技术全面解说5种传播途径
网工知识角|没人会告诉你的网络SDN软定义技术中VXLAN的4个特点
网工知识角|你不可不知的WLAN的安全技术体系
网工知识角|什么是思科软件定义接入(SD-Access)? 新一代网工必学的自动化技术
网工知识角|什么是华为CSS 集群?简单易懂,面试收藏
网工知识角|三分钟了解QOS的处理流程和分类
网工知识角|Qos的基本原理
网工知识角|LACP技术详解
网工知识角|802.1X协议介绍
网工知识角|OpenFlow协议简介
网工知识角|MSTP协议详解
网工知识角|快速了解IGMP协议
网工知识角|快速了解和掌握HSRP协议简介和配置
网工知识角|1分钟了解GRE协议浅析
网工知识角|DHCP服务详解和基于eNSP DHCP配置
网工知识角|P2P协议简介
网工知识角|OSPFv3技术概述
网工知识角|防火墙双机热备三大协议(VRRP-VGMP-HRP)简述
网工知识角|一分钟了解交换机的堆叠技术
网工知识角|简单了解Cisco PVST协议
网工知识角|MPLS LDP简介
网工知识角|GLBP网关负载均衡协议原理
网工知识角|Cisco VTP解析
网工知识角|DLDP技术简述
网工技术分享|Cisco策略路由PBR详解
网工技术分享|Cisco CEF浅析
思科认证EI课程:
致网络工程师,新网工时代轻松拿下思科全新CCIE EI等各方向认证
网络工程师如何轻松拿下思科企业网基础架构 EI CCIE认证?独家详细学习指南+考试计划
思科EI考试SDN部分技术解读"基于TrustSec的SD-Access Fabric策略平面"建议收藏
纯技术分享|EI企业架构模型必须了解的软定义网络SDN与基于意图的网络IBN
思科认证SP课程:
揭秘2020最新版【思科SP运营商方向独家高级全栈班课程】你想学的技术都在这里
你了解思科的IOS-XR吗?准SP CCIE一定要看!IOS-XR的配置管理
思科SPCCIE V5.0考试前要完成的学习计划
备考指南|思科SP CCIE认证新版本V5.0对比现版本V4.1新增了哪些知识点?
CCIE EI直通车/冲刺课程
CCIE SP直通车/冲刺课程
CCIE DC直通车/冲刺课程
扫码领取8.5折/立减800元优惠券
联系小编 咨询报名
CCIE备考交流QQ群:134074975
思科华为免费公开课QQ群:134403299
每日打卡一个技术点,关注IE-LAB哔哩哔哩:370947524
每日下午4点准时直播,关注IE-LAB抖音:135654500
IE-LAB官网:http://www.ie-lab.cn
分享给更多网工同伴一起进步
关注本订阅号,点个“赞“”在看”
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
