热门标签 | HotTags
当前位置:  开发笔记 > 后端 > 正文

构成虚拟局域网的技术_虚拟局域网技术重点笔记!面对不同攻击行为的防范措施...

今天我们来了解VLAN攻击概述。VLAN(VirtualLocalAreaNetwork)的中文名为虚拟局域网。虚拟局域网(VLAN)是一组逻辑上的设备和用户,这

今天我们来了解VLAN攻击概述。

VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。

b24168755dc66974d46c0ef869861d15.png

与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。

VLAN攻击手段是基于VLAN技术应用所采取的攻击方式,面对这些花样翻新的攻击手段,如何采取有效的防范措施?

1、802.1Q和ISL标记攻击:

标记攻击属于恶意攻击,利用它,一个 VLAN 上的用户可以非法访问另一个 VLAN 。例如,如果将交换机端口配置成 DTP(DYNAMIC TRUNK PROTCOL) auto ,用于接收伪造 DTP(DYNAMIC TRUNK PROTCOL) 分组,那么,它将成为干道端口,并有可能接收通往任何 VLAN 的流量。由此,恶意用户可以通过受控制的端口与其它 VLAN 通信。

对于这种攻击,只需将所有不可信端口上的 DTP(DYNAMIC TRUNK PROTCOL) 设置为关闭状态即可。

2、双封装802.1Q/嵌套式VLAN攻击:

在交换机内部, VLAN 数字和标识用特殊扩展格式表示,目的是让转发路径保持端到端 VLAN 独立,而且不会损失任何信息。在交换机外部,标记规则由 ISL 或 802.1Q 等标准规定。ISL 属于思科专有技术,是设备中使用的扩展分组报头的紧凑形式,每个分组总会获得一个标记,没有标识丢失风险,因而可以提高安全性。

802.1Q IEEE 委员会决定,为实现向下兼容性,最好支持本征 VLAN ,即支持与 802.1Q 链路上任何标记显式不相关的 VLAN 。这种 VLAN 以隐含方式被用于接收802.1Q端口上的所有无标记流量。这项功能是用户所希望的,因为利用这个功能,802.1Q端口可以通过收发无标记流量直接与老 802.3 端口对话。但是,在所有其他情况下,这种功能可能会非常有害,因为通过 802.1Q 链路传输时,与本地 VLAN 相关的分组将丢失其标记。

为此就是应选择未使用的 VLAN 作为所有干道的本地 VLAN ,而且不能将该 VLAN 用于任何其它目的 。 STP、DTP和UDLD等协议应为本地 VLAN 的唯一合法用户,而且其流量应该与所有数据分组完全隔离开。

3、VLAN跳转攻击

VLAN跳转是一种网络攻击方式,指的是终端系统向管理员不允许它访问的VLAN发送数据包,或者接收这个VLAN的数据包。这种攻击的实现方法是为攻击流量打上特定的VLAN ID(VID)标,或者通过协商 Trunk 链路来发送和接收所需 VLAN 的流量。攻击者可以通过使用交换机欺骗或者双层标签的方式,来实现VLAN跳转攻击。

VLAN跳转攻击是指恶意设备试图访问与其配置不同的VLAN。

VLAN跳转攻击有两种形式:

一种形式是源于 Catalyst交换机端口的默认配置。Cisco Catalyst交换机的端口上默认启用自动(Auto)模式的链路聚集协议。因此接口在收到DTP帧后就会变为Trunk端口。

第二种形式的 VLAN 跳转攻击即使在交换机接口关闭了链路聚集特性的情况下也可以实施。在这类攻击中,攻击者会发送带有双层802.1Q标签的数据帧。这类攻击需要客户端连接在攻击者所连交换机之外的交换机上。另一个要求是这两台交换机连接的 VLAN,必须与攻击者所连的交换机端口的 VLAN 相同,或者与交换机和被攻击VLAN之间的 Trunk 端口上的Native VLAN 相同。

在建立Trunk端口时,为了防御网络中的VLAN跳转攻击,应对所有交换机端口和参数进行配置。

1、把所有未使用的端口设置为Access端口,使这些链路无法协商链路汇聚协议。

2、把所有未使用的端口设置为关闭(Shutdown)状态,并把它们放入同一个 VLAN中,这个VLAN专门用于未使用端口,因而并不承载任何用户数据流量。

√坚持每天技术打卡 学√网络,就在IE-LAB √国内高端网络工程师培养基地



推荐阅读
  • 最新进展:作为最接近官方声明的信息源,本文吸引了大量关注。若需获取最新动态,请访问:lkhill.com/ccie-version-5-update ... [详细]
  • 大数据时代的机器学习:人工特征工程与线性模型的局限
    本文探讨了在大数据背景下,人工特征工程与线性模型的应用及其局限性。随着数据量的激增和技术的进步,传统的特征工程方法面临挑战,文章提出了未来发展的可能方向。 ... [详细]
  • 本文介绍了如何在三台CentOS 7.5虚拟机上通过Docker部署RabbitMQ集群,包括环境准备、容器创建、集群配置及故障处理等内容。 ... [详细]
  • 地理信息、定位技术及其在物联网中的应用
    地理位置信息是物联网系统中不可或缺的关键要素,它不仅提供了物理世界的坐标,还增强了物联网应用的实用性和准确性。本文探讨了位置服务的基本概念、关键技术及其在物联网中的重要作用,特别介绍了定位技术的最新进展。 ... [详细]
  • 本文探讨了一种统一的语义数据模型,旨在支持物联网、建筑及企业环境下的数据转换。该模型强调简洁性和可扩展性,以促进不同行业间的插件化和互操作性。对于智能硬件开发者而言,这一模型提供了重要的参考价值。 ... [详细]
  • PHP调用Shell命令的多种方法及环境配置指南
    本文详细介绍了在PHP中调用Shell命令的不同方式及其应用场景,同时提供了在Ubuntu系统中配置PHP以支持Shell命令执行的具体步骤。此外,还涵盖了安装与配置Apache服务器及PHP环境的过程,以便于开发者能够顺利地在Web环境中执行Shell脚本。 ... [详细]
  • C++ 中单向链表的应用与实现
    本文介绍了链表的基本概念,重点探讨了单向链表在C++中的应用及其实现方法。链表作为一种非连续存储的数据结构,具有独特的灵活性和高效性。 ... [详细]
  • NIO 通道接口详解
    本文介绍了NIO(New Input/Output)中的通道接口及其相关概念,包括通道的基本功能、接口设计以及各类通道接口的具体用途。通过本文,读者可以深入了解NIO通道的设计原理及其在实际项目中的应用。 ... [详细]
  • 58同城的Elasticsearch应用与平台构建实践
    本文由58同城高级架构师于伯伟分享,由陈树昌编辑整理,内容源自DataFunTalk。文章探讨了Elasticsearch作为分布式搜索和分析引擎的应用,特别是在58同城的实施案例,包括集群优化、典型应用实例及自动化平台建设等方面。 ... [详细]
  • a16z 宣布成立全新的加密研究实验室,旨在推动加密技术和 Web3 领域的科学发展。 ... [详细]
  • 本文介绍了一种常见的网络故障现象——间歇性连接中断,并详细探讨了其可能的原因及解决方法。 ... [详细]
  • H3C三层交换机端口桥接或路由模式设置命令查询
    本文探讨了如何在H3C三层交换机上设置端口为桥接或路由模式的方法,并提供了相关的命令和配置建议。 ... [详细]
  • 本文详细介绍了如何设置局域网,并确保网络中的所有计算机能够相互访问和共享安装的软件。包括物理连接检查、TCP/IP设置、网络协议配置等多个方面。 ... [详细]
  • Linux双网卡绑定技术详解与实践
    本文详细介绍了如何在Linux系统中实现双网卡绑定,即将两块物理网卡合并为一个逻辑网卡,以提高网络性能和可靠性。文中不仅涵盖了基本的概念,还提供了具体的配置步骤和测试方法。 ... [详细]
  • 本文详细解释了网络服务质量(QoS)中的关键参数,包括承诺信息速率(CIR)、峰值信息速率(PIR)、承诺突发尺寸(CBS)以及峰值突发尺寸(PBS),并提供了这些参数在实际配置中的应用示例。 ... [详细]
author-avatar
付帅sz_702
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有