CCNP学习之路之VLAN Hopping
2013-03-13 11:37
489 查看
VLAN的跳跃攻击(VLAN Hopping):对于网络中有许多的攻击手段,vlan hopping 属于其中的一种,它是根据cisco交换机的动态协商功能,不经过层三设备,跨跃VLAN来进行访问。一般情况下,我们知道不同VLAN 之前互访,必须要通过层三设备,通过使用VLAN HOPPING技术,就可不经过层三设备,就可达到对不同的VLAN进行访问。
对于VLAN HOPPING 就是使用到了所谓二次标签技术,假如一攻击者来自于内网(根据8020原则)。如下图所示:
1、攻击者位于VLAN10 中, ATTACK 在把FRAME经过一次标签,即加入INNER ON VLAN20,到达第一个交换机时,第一个交换机与第二个交换机通过TRUNK 把FRAME发给第二个交换机,同时二次标签为OUTTER ON VLAN10。
2.这样当FRAME到达第二个交换机时,这时交换机要把接收到且经过自己标签的FRAME发给具体的PC,这样,第二个交换机会读取内部标签INNER ON VLAN20,这样,通过HOOPING 技术就会不通过层三设备,而完成对不同的VLAN之间的访问。
3.对于这种类型的攻击,根本原因是由于ATTACK处于的端口的模式为DYNAMIC DESIRABLE。解决方法:可作以下的简单设置:
只需要把那个端口在划分VLAN时把那个端口设置为静态接入端口。
Mitigating VLAN Hopping
switch(config)#interface-range type mod/port-port ///selects a range of interfaces to configure
switch(config-if)#switchport mode access /// configure the ports as access ports and turns off DTP
switch(config-if)#switchport access vlan vlan-id /// statically assigns the ports to specific unused VLAN
本文出自 “平哥_Jason” 博客,请务必保留此出处http://jasonliping.blog.51cto.com/471157/1153039
对于VLAN HOPPING 就是使用到了所谓二次标签技术,假如一攻击者来自于内网(根据8020原则)。如下图所示:
1、攻击者位于VLAN10 中, ATTACK 在把FRAME经过一次标签,即加入INNER ON VLAN20,到达第一个交换机时,第一个交换机与第二个交换机通过TRUNK 把FRAME发给第二个交换机,同时二次标签为OUTTER ON VLAN10。
2.这样当FRAME到达第二个交换机时,这时交换机要把接收到且经过自己标签的FRAME发给具体的PC,这样,第二个交换机会读取内部标签INNER ON VLAN20,这样,通过HOOPING 技术就会不通过层三设备,而完成对不同的VLAN之间的访问。
3.对于这种类型的攻击,根本原因是由于ATTACK处于的端口的模式为DYNAMIC DESIRABLE。解决方法:可作以下的简单设置:
只需要把那个端口在划分VLAN时把那个端口设置为静态接入端口。
Mitigating VLAN Hopping
switch(config)#interface-range type mod/port-port ///selects a range of interfaces to configure
switch(config-if)#switchport mode access /// configure the ports as access ports and turns off DTP
switch(config-if)#switchport access vlan vlan-id /// statically assigns the ports to specific unused VLAN
本文出自 “平哥_Jason” 博客,请务必保留此出处http://jasonliping.blog.51cto.com/471157/1153039
相关文章推荐
- CCNP学习之路之第一条冗余协议first-hop redundancy protocol(HSRP、VRRP、GLBP)
- CCNP学习之路之VOIP基本知识
- CCNP学习之路之UDLD
- CCNP学习之路之思科不间断转发( NSF )
- CCNP学习之路之PortFast、portfast bpduguard、portfast bpdufilter
- CCNP学习之路之思科路由器引擎的冗余模式 HSA、RPP、RPR+、SSO
- CCNP学习之路之PVLAN配置
- CCNP学习之路之Voice VLAN语音vlan(2)
- CCNP学习之路之PVLAN(私有vlan)
- CCNP学习之路之VLAN ACL\VLAN access-map
- CCNP学习之路之VRRP
- CCNP学习之路之AAA
- CCNP学习之路之VACL与PACL
- CCNP学习之路之BPDU Guard
- CCNP学习之路之STP\RSTP\MSTP区别
- CCNP学习之路之QOS配置命令
- CCNP学习之路之CDP思科发现协议
- CCNP学习之路之RFC 2338 VRRP
- CCNP学习之路之VTP(Vlan Trunk Protocol)