解析常见的VLAN攻击 (解析常见的五种成本管理法课后测试)

教程大全 2025-07-17 19:39:02 浏览次

VLAN攻击手段是黑客基于VLAN技术应用所采取的攻击方式，面对这些花样翻新的攻击手段，如何采取有效的防范措施?在本文中，将针对应用VLAN技术管理的网络，介绍黑客的攻击手段和我们可以采取的防御手段。

目前常见的VLAN的攻击有以下几种：

VLAN攻击1.802.1Q 和 ISL 标记攻击

标记攻击属于恶意攻击，利用它，一个 VLAN 上的用户可以非法访问另一个 VLAN 。例如，如果将交换机端口配置成 DTP(DYNAMIC TRUNK PROTCOL) auto ，用于接收伪造 DTP(DYNAMIC TRUNK PROTCOL) 分组，那么，它将成为干道端口，并有可能接收通往任何 VLAN 的流量。由此，恶意用户可以通过受控制的端口与其它 VLAN 通信。有时即便只是接收普通分组，交换机端口也可能违背自己的初衷，像全能干道端口那样操作(例如，从本地以外的其它 VLAN 接收分组)，这种现象通常称为“VLAN 渗漏”。

对于这种攻击，只需将所有不可信端口(不符合信任条件)上的 DTP(DYNAMIC TRUNK PROTCOL) 设置为“关”，即可预防这种攻击的侵袭。 Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4000 和 Catalyst 6000 系列交换机上运行的软件和硬件还能够在所有端口上实施适当的流量分类和隔离。

VLAN攻击2.双封装 802.1Q/ 嵌套式 VLAN 攻击

在交换机内部， VLAN 数字和标识用特殊扩展格式表示，目的是让转发路径保持端到端 VLAN 独立，而且不会损失任何信息。在交换机外部，标记规则由 ISL 或 802.1Q 等标准规定。

ISL 属于思科专有技术，是设备中使用的扩展分组报头的紧凑形式，每个分组总会获得一个标记，没有标识丢失风险，因而可以提高安全性。

另一方面，制订了 802.1Q 的 IEEE 委员会决定，为实现向下兼容性，最好支持本征 VLAN ，即支持与 802.1Q 链路上任何标记显式不相关的 VLAN 。这种 VLAN 以隐含方式被用于接收802.1Q端口上的所有无标记流量。

这种功能是用户所希望的，因为利用这个功能，802.1Q端口可以通过收发无标记流量直接与老 802.3 端口对话。但是，在所有其他情况下，这种功能可能会非常有害，因为通过 802.1Q 链路传输时，与本地 VLAN 相关的分组将丢失其标记，例如丢失其服务等级( 802.1p 位)。先剥离，再送回攻击者 802.1q 帧，VLAN A、 VLAN B 数据包含本征VLAN A 的干道 VLAN B 数据

注意：只有干道所处的本征 VLAN 与攻击者相同，才会发生作用。

当双封装 802.1Q 分组恰巧从 VLAN与干道的本征 VLAN 相同的设备进入网络时，这些分组的 VLAN 标识将无法端到端保留，因为 802.1Q 干道总会对分组进行修改，即剥离掉其外部标记。删除外部标记之后，内部标记将成为分组的惟一 VLAN 标识符。因此，如果用两个不同的标记对分组进行双封装，流量就可以在不同 VLAN 之间跳转。

这种情况将被视为误配置，因为 802.1Q 标准并不逼迫用户在这些情况下使用本征 VLAN 。事实上，应一贯使用的适当配置是从所有 802.1Q 干道清除本地 VLAN (将其设置为 802.1q-all-tagged 模式能够达到完全相同的效果)。在无法清除本地 VLAN 时，应选择未使用的 VLAN 作为所有干道的本地 VLAN ，而且不能将该 VLAN 用于任何其它目的。 STP、DTP(DYNAMIC TRUNK PROTCOL)和UDLD等协议应为本地 VLAN 的唯一合法用户，而且其流量应该与所有数据分组完全隔离开。

VLAN攻击3.VLAN跳跃攻击

虚拟局域网(VLAN)是对广播域进行分段的方法。VLAN还经常用于为网络提供额外的安全，因为一个VLAN上的计算机无法与没有明确访问权的另一个VLAN上的用户进行对话。不过VLAN本身不足以保护环境的安全，恶意黑客通过VLAN跳跃攻击，即使未经授权，也可以从一个VLAN跳到另一个VLAN。

VLAN跳跃攻击(VLAN hopping)依靠的是动态中继协议(DTP(DYNAMIC TRUNK PROTCOL))。如果有两个相互连接的交换机，DTP(DYNAMIC TRUNK PROTCOL)就能够对两者进行协商，确定它们要不要成为802.1Q中继，洽商过程是通过检查端口的配置状态来完成的。

VLAN跳跃攻击充分利用了DTP(DYNAMIC TRUNK PROTCOL)，在VLAN跳跃攻击中，黑客可以欺骗计算机，冒充成另一个交换机发送虚假的DTP(DYNAMIC TRUNK PROTCOL)协商消息，宣布它想成为中继; 真实的交换机收到这个DTP(DYNAMIC TRUNK PROTCOL)消息后，以为它应当启用802.1Q中继功能，而一旦中继功能被启用，通过所有VLAN的信息流就会发送到黑客的计算机上。

中继建立起来后，黑客可以继续探测信息流，也可以通过给帧添加802.1Q信息，指定想把攻击流量发送给哪个VLAN。

VLAN攻击4.VTP攻击

VLAN中继协议(VTP,VLAN Trunk Protocol)是一种管理协议，它可以减少交换环境中的配置数量。就VTP而言，交换机可以是VTP 服务器、VTP客户端或者VTP透明交换机，这里着重讨论VTP服务器和VTP客户端。用户每次对工作于VTP服务器模式下的交换机进行配置改动时，无论是添加、修改还是移除VLAN，VTP配置版本号都会增加1，VTP客户端看到配置版本号大于目前的版本号后，就自动与VTP服务器进行同步。

恶意黑客可以让VTP为己所用，移除网络上的所有VLAN(除了默认的VLAN外)，这样他就可以进入其他每个用户所在的同一个VLAN上。不过，用户可能仍在不同的网段，所以恶意黑客就需要改动他的IP地址，才能进入他想要攻击的主机所在的同一个网段。

恶意黑客只要连接到交换机，并在自己的计算机和交换机之间建立一条中继，就可以充分利用VTP。黑客可以发送VTP消息到配置版本号高于当前的VTP服务器，这会导致所有交换机都与恶意黑客的计算机进行同步，从而把所有非默认的VLAN从VLAN数据库中移除出去。

这么多种攻击，可见我们实施的VLAN是多么的脆弱，不过我们值得庆幸的是：如果交换机的配置不正确或不适当，才有可能引发意外行为或发生安全问题。所以我们在下面会告诉大家配置交换机时必须注意的关键点。

【编辑推荐】

如何在多VLAN中解析NETBIOS

如果是同一个交换机上的多VLAN，没法解析，因为VLAN就是为了隔离2层网络，如果让你发过去了，还就不叫VLAN了。如果是不同设备上的，可以通过级联来做，因为经过了交换设备后，可以把VLAN标签去掉。比如你一个交换机上有个VLAN3，另一个交换机上有个VLAN4，两个交换机都再接到第3个交换机上。你可以在前两个交换机上配置，让从这两个交换机上出去的报文，把VLAN3和VLAN4的标签去掉，变回普通的以太网报文，就可以在第3台交换机上广播NETBIOS了。

什么ip是动态的？

对于基于TCP／IP协议的局域网，IP地址的管理方式主要有静态分配方式和动态分配方式，还可以根据需要将两种方式结合使用，即混合分配方式。静态分配IP地址是指给每一台计算机都分配一个固定的IP地址，优点是便于管理，特别是在根据IP地址限制网络流量的局域网中，以固定的IP地址或IP地址分组产生的流量为依据管理，可以免除在按用户方式计费时用户每次上网都必须进行的身份认证的繁琐过程，同时也避免了用户经常忘记密码的尴尬。静态分配IP地址的弱点是合法用户分配的地址可能被非法盗用，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因而也容易给合法用户造成损失和潜在的安全隐患。解决这种问题的常用方法有以下两种。 1．划分VLAN根据用户的性质，将物理局域网中的用户划分到不同的虚拟局域网当中。由于VLAN之间必须通过路由才能访问，因此某一VLAN中的用户将无法盗用其他VLAN中的IP地址。 2．MAC地址绑定为解决IP地址盗用问题，一些网络设备(如交换机、路由器及防火墙等)运用了MAC地址绑定技术。计算机的网卡和网络通信设备的每个网络接口都具有一个惟一硬件物理地址，即MAC地址。 MAC地址是与计算机的网卡一一对应的。在TCP／IP网络中，当两台计算机进行通信时，每个网卡还具有一个网络IP地址。利用网络主干通信设备提供的将网卡IP地址同其MAC地址进行绑定的功能，就可以在设备内部建立起网卡IP地址同其MAC地址一一对应的关系，即实现了网卡IP地址同其硬件MAC地址的绑定。在这种情况下，即使某个用户在白己的计算机上盗用其他计算机的IP地址时，网络主干通信设备也会因其网卡MAC地址与IP地址不匹配而拒绝通过。动态分配IP地址是指仅当用户计算机需要连入网络工作时，系统才在所掌握的可分配 IP地址空间中，随机挑选一个给用户使用的IP地址分配方式。对于临时用户较多但可以使用的IP地址数量有限的网络，如果不要求用户通过身份认证后才能访问Internet的网络，那么采用动态分配IP地址的策略是一种十分方便的管理方式。 IP地址的动态分配是通过 TCP／IP的动态主机配置协议(DHCP)进行的。混合分配方式是将IP地址的静态分配与动态分配结合使用的方式，主要是利用各自的长处。如果一个网络需要对用户使用情况进行基于IP地址的严格控制和管理，同时还允许临时用户的计算机随时连入使用，并且可以进行某种程度的控制管理，就可以使用混合分配方式。除了可以按照常规管理具有固定IP地址的入网计算机外，可以划分出一个作为动态IP地址分配的空间，供临时入网的设备使用。这种方案虽然不能够对临时入网的计算机进行基于IP地址的单台管理，但是可以对所有临时入网的计算机进行整体的控制和管理。