資源描述:
《知己知彼用vlan技術(shù)防御黑客攻擊》由會員上傳分享,免費在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫����。
1����、知己知彼用VLAN技術(shù)防御黑客攻擊~教育資源庫 為什么要用VLAN呢?VLAN的實施是從邏輯上對用戶進行了劃分�����,使不同VLAN之中的用戶無法直接通信����。這種技術(shù)方便實施��,節(jié)約資金�。然而隨著VLAN的應用范圍越來越廣���,而同VLAN相關(guān)的安全管理問題也越來越嚴重�����?����! LAN技術(shù)的應用為網(wǎng)絡的安全防范提供了一種基于管理方式上的策略方法���,我們可以根據(jù)企業(yè)網(wǎng)絡管理的特點有針對性地選擇不同的VLAN劃分手段�。雖然網(wǎng)絡安全在某種程度上得到了一定的保障����,但安全往往與危險并存�����,面對這些花樣翻新的攻擊手段�,如何采取有效的防范措施?在本文中�,將針對應用VLAN技術(shù)管理的網(wǎng)絡,介紹黑
2���、客的攻擊手段和我們可以采取的防御手段��?���! ∫?常見的VLAN攻擊 目前常見的VLAN的攻擊有以下幾種: 1.802.1Q和ISL標記攻擊 標記攻擊屬于惡意攻擊�,利用它,一個VLAN上的用戶可以非法訪問另一個VLAN����。例如,如果將交換機端口配置成DTP(DYNAMICTRUNKPROTCOL)auto�,用于接收偽造DTP(DYNAMICTRUNKPROTCOL)分組,那么����,它將成為干道端口,并有可能接收通往任何VLAN的流量�����。由此,惡意用戶可以通過受控制的端口與其它VLAN通信����。有時即便只是接收普通分組,交換機端口也可能違背自己的初衷�,像全能干道端口那樣操作
3、(例如�,從本地以外的其它VLAN接收分組),這種現(xiàn)象通常稱為VLAN滲漏�?��! τ谶@種攻擊����,只需將所有不可信端口(不符合信任條件)上的DTP(DYNAMICTRUNKPROTCOL)設(shè)置為關(guān)�����,即可預防這種攻擊的侵襲�。CiscoCatalyst2950、Catalyst3550����、Catalyst4000和Catalyst6000系列交換機上運行的軟件和硬件還能夠在所有端口上實施適當?shù)牧髁糠诸惡透綦x����?�! ?.雙封裝802.1Q/嵌套式VLAN攻擊 在交換機內(nèi)部��,VLAN數(shù)字和標識用特殊擴展格式表示���,目的是讓轉(zhuǎn)發(fā)路徑保持端到端VLAN獨立�����,而且不會損失任何信息�。在交
4�����、換機外部��,標記規(guī)則由ISL或802.1Q等標準規(guī)定�����。 ISL屬于思科專有技術(shù)���,是設(shè)備中使用的擴展分組報頭的緊湊形式���,每個分組總會獲得一個標記,沒有標識丟失風險���,因而可以提高安全性���。 另一方面��,制訂了802.1Q的IEEE委員會決定���,為實現(xiàn)向下兼容性,最好支持本征VLAN��,即支持與802.1Q鏈路上任何標記顯式不相關(guān)的VLAN�����。這種VLAN以隱含方式被用于接收802.1Q端口上的所有無標記流量��。 這種功能是用戶所希望的���,因為利用這個功能����,802.1Q端口可以通過收發(fā)無標記流量直接與老802.3端口對話���。但是�����,在所有其他情況下����,這種功能可能會非常有害����,因為通過
5、802.1Q鏈路傳輸時��,與本地VLAN相關(guān)的分組將丟失其標記�,例如丟失其服務等級(802.1p位)。 但是基于這些原因丟失識別途徑和丟失分類信息��,就應避免使用本征VLAN�����,更不要說還有其它原因�����,如圖1所示���?��! D1雙封裝攻擊 先剝離,再送回攻擊者802.1q幀���,VLANA��、VLANB數(shù)據(jù)包含本征VLANA的干道VLANB數(shù)據(jù) 注意:只有干道所處的本征VLAN與攻擊者相同��,才會發(fā)生作用?���! ‘旊p封裝802.1Q分組恰巧從VLAN與干道的本征VLAN相同的設(shè)備進入網(wǎng)絡時��,這些分組的VLAN標識將無法端到端保留�,因為802.1Q干道總會對分組進行修改���,即剝離掉其
6�、外部標記�����。刪除外部標記之后�,內(nèi)部標記將成為分組的惟一VLAN標識符。因此��,如果用兩個不同的標記對分組進行雙封裝���,流量就可以在不同VLAN之間跳轉(zhuǎn)�?��! ∵@種情況將被視為誤配置����,因為802.1Q標準并不逼迫用戶在這些情況下使用本征VLAN。事實上�,應一貫使用的適當配置是從所有802.1Q干道清除本地VLAN(將其設(shè)置為802.1q-all-tagged模式能夠達到完全相同的效果)。在無法清除本地VLAN時�����,應選擇未使用的VLAN作為所有干道的本地VLAN���,而且不能將該VLAN用于任何其它目的�����。STP����、DTP(DYNAMICTRUNKPROTCOL)和UDLD等協(xié)議應
7���、為本地VLAN的唯一合法用戶��,而且其流量應該與所有數(shù)據(jù)分組完全隔離開����?��! ?.VLAN跳躍攻擊 虛擬局域網(wǎng)(VLAN)是對廣播域進行分段的方法�。VLAN還經(jīng)常用于為網(wǎng)絡提供額外的安全�����,因為一個VLAN上的計算機無法與沒有明確訪問權(quán)的另一個VLAN上的用戶進行對話��。不過VLAN本身不足以保護環(huán)境的安全�����,惡意黑客通過VLAN跳躍攻擊�,即使未經(jīng)授權(quán),也可以從一個VLAN跳到另一個VLAN�����?����! LAN跳躍攻擊(VLANhopping)依靠的是動態(tài)中繼協(xié)議(DTP(DYNAMICTRUNKPROTCOL))��。如果有兩個相互連接的交換機�����,DTP(DYNAMICTRUNK
8、PROTCOL)就能夠?qū)?/p>
