為什么要用VLAN呢?VLAN的實(shí)施是從邏輯上對用戶進(jìn)行了劃分，使不同VLAN之中的用戶無法直接通信。這種技術(shù)方便實(shí)施，節(jié)約資金。然而隨著VLAN的應(yīng)用范圍越來越廣，而同VLAN相關(guān)的安全管理問題也越來越嚴(yán)重。

VLAN技術(shù)的應(yīng)用為網(wǎng)絡(luò)的安全防范提供了一種基于管理方式上的策略方法，我們可以根據(jù)企業(yè)網(wǎng)絡(luò)管理的特點(diǎn)有針對性地選擇不同的VLAN劃分手段。雖然網(wǎng)絡(luò)安全在某種程度上得到了一定的保障，但安全往往與危險并存，面對這些花樣翻新的攻擊手段，如何采取有效的防范措施?在本文中，將針對應(yīng)用VLAN技術(shù)管理的網(wǎng)絡(luò)，介紹黑客的攻擊手段和我們可以采取的防御手段。

一.常見的VLAN攻擊

目前常見的VLAN的攻擊有以下幾種：

1.802.1Q 和 ISL 標(biāo)記攻擊

標(biāo)記攻擊屬于惡意攻擊，利用它，一個 VLAN 上的用戶可以非法訪問另一個 VLAN 。例如，如果將交換機(jī)端口配置成 DTP(DYNAMIC TRUNK PROTCOL) auto ，用于接收偽造 DTP(DYNAMIC TRUNK PROTCOL) 分組，那么，它將成為干道端口，并有可能接收通往任何 VLAN 的流量。由此，惡意用戶可以通過受控制的端口與其它 VLAN 通信。 有時即便只是接收普通分組，交換機(jī)端口也可能違背自己的初衷，像全能干道端口那樣操作(例如，從本地以外的其它 VLAN 接收分組)，這種現(xiàn)象通常稱為“VLAN 滲漏”。

對于這種攻擊，只需將所有不可信端口(不符合信任條件)上的 DTP(DYNAMIC TRUNK PROTCOL) 設(shè)置為“關(guān)”，即可預(yù)防這種攻擊的侵襲。 Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4000 和 Catalyst 6000 系列交換機(jī)上運(yùn)行的軟件和硬件還能夠在所有端口上實(shí)施適當(dāng)?shù)牧髁糠诸惡透綦x。

2.雙封裝 802.1Q/ 嵌套式 VLAN 攻擊

在交換機(jī)內(nèi)部， VLAN 數(shù)字和標(biāo)識用特殊擴(kuò)展格式表示，目的是讓轉(zhuǎn)發(fā)路徑保持端到端 VLAN 獨(dú)立，而且不會損失任何信息。在交換機(jī)外部，標(biāo)記規(guī)則由 ISL 或 802.1Q 等標(biāo)準(zhǔn)規(guī)定。

ISL 屬于思科專有技術(shù)，是設(shè)備中使用的擴(kuò)展分組報頭的緊湊形式，每個分組總會獲得一個標(biāo)記，沒有標(biāo)識丟失風(fēng)險，因而可以提高安全性。

另一方面，制訂了 802.1Q 的 IEEE 委員會決定，為實(shí)現(xiàn)向下兼容性，最好支持本征 VLAN ，即支持與 802.1Q 鏈路上任何標(biāo)記顯式不相關(guān)的 VLAN 。這種 VLAN 以隱含方式被用于接收802.1Q端口上的所有無標(biāo)記流量。

這種功能是用戶所希望的，因?yàn)槔眠@個功能，802.1Q端口可以通過收發(fā)無標(biāo)記流量直接與老 802.3 端口對話。但是，在所有其他情況下，這種功能可能會非常有害，因?yàn)橥ㄟ^ 802.1Q 鏈路傳輸時，與本地 VLAN 相關(guān)的分組將丟失其標(biāo)記，例如丟失其服務(wù)等級( 802.1p 位)。

但是基于這些原因——丟失識別途徑和丟失分類信息，就應(yīng)避免使用本征 VLAN ，更不要說還有其它原因，如圖1所示。

圖 1 雙封裝攻擊

先剝離，再送回攻擊者 802.1q 幀 ，VLAN A、 VLAN B 數(shù)據(jù)包含本征VLAN A 的干道 VLAN B 數(shù)據(jù)

注意： 只有干道所處的本征 VLAN 與攻擊者相同，才會發(fā)生作用。

當(dāng)雙封裝 802.1Q 分組恰巧從 VLAN與干道的本征 VLAN 相同的設(shè)備進(jìn)入網(wǎng)絡(luò)時，這些分組的 VLAN 標(biāo)識將無法端到端保留，因?yàn)?802.1Q 干道總會對分組進(jìn)行修改，即剝離掉其外部標(biāo)記。刪除外部標(biāo)記之后，內(nèi)部標(biāo)記將成為分組的惟一 VLAN 標(biāo)識符。因此，如果用兩個不同的標(biāo)記對分組進(jìn)行雙封裝，流量就可以在不同 VLAN 之間跳轉(zhuǎn)。

這種情況將被視為誤配置，因?yàn)?802.1Q 標(biāo)準(zhǔn)并不逼迫用戶在這些情況下使用本征 VLAN 。事實(shí)上，應(yīng)一貫使用的適當(dāng)配置是從所有 802.1Q 干道清除本地 VLAN (將其設(shè)置為 802.1q-all-tagged 模式能夠達(dá)到完全相同的效果)。在無法清除本地 VLAN 時， 應(yīng)選擇未使用的 VLAN 作為所有干道的本地 VLAN ，而且不能將該 VLAN 用于任何其它目的 。 STP、DTP(DYNAMIC TRUNK PROTCOL)和UDLD等協(xié)議應(yīng)為本地 VLAN 的唯一合法用戶，而且其流量應(yīng)該與所有數(shù)據(jù)分組完全隔離開。

3.VLAN跳躍攻擊

虛擬局域網(wǎng)(VLAN)是對廣播域進(jìn)行分段的方法。VLAN還經(jīng)常用于為網(wǎng)絡(luò)提供額外的安全，因?yàn)橐粋€VLAN上的計(jì)算機(jī)無法與沒有明確訪問權(quán)的另一個VLAN上的用戶進(jìn)行對話。不過VLAN本身不足以保護(hù)環(huán)境的安全，惡意黑客通過VLAN跳躍攻擊，即使未經(jīng)授權(quán)，也可以從一個VLAN跳到另一個VLAN。

VLAN跳躍攻擊(VLAN hopping)依靠的是動態(tài)中繼協(xié)議(DTP(DYNAMIC TRUNK PROTCOL))。如果有兩個相互連接的交換機(jī)，DTP(DYNAMIC TRUNK PROTCOL)就能夠?qū)烧哌M(jìn)行協(xié)商，確定它們要不要成為802.1Q中繼，洽商過程是通過檢查端口的配置狀態(tài)來完成的。

VLAN跳躍攻擊充分利用了DTP(DYNAMIC TRUNK PROTCOL)，在VLAN跳躍攻擊中，黑客可以欺騙計(jì)算機(jī)，冒充成另一個交換機(jī)發(fā)送虛假的DTP(DYNAMIC TRUNK PROTCOL)協(xié)商消息，宣布它想成為中繼; 真實(shí)的交換機(jī)收到這個DTP(DYNAMIC TRUNK PROTCOL)消息后，以為它應(yīng)當(dāng)啟用802.1Q中繼功能，而一旦中繼功能被啟用，通過所有VLAN的信息流就會發(fā)送到黑客的計(jì)算機(jī)上。

中繼建立起來后，黑客可以繼續(xù)探測信息流，也可以通過給幀添加802.1Q信息，指定想把攻擊流量發(fā)送給哪個VLAN。

4.VTP攻擊

VLAN中繼協(xié)議(VTP,VLAN Trunk Protocol)是一種管理協(xié)議，它可以減少交換環(huán)境中的配置數(shù)量。就VTP而言，交換機(jī)可以是VTP服務(wù)器、VTP客戶端或者VTP透明交換機(jī)，這里著重討論VTP服務(wù)器和VTP客戶端。用戶每次對工作于VTP服務(wù)器模式下的交換機(jī)進(jìn)行配置改動時，無論是添加、修改還是移除VLAN，VTP配置版本號都會增加1，VTP客戶端看到配置版本號大于目前的版本號后，就自動與VTP服務(wù)器進(jìn)行同步。

惡意黑客可以讓VTP為己所用，移除網(wǎng)絡(luò)上的所有VLAN(除了默認(rèn)的VLAN外)，這樣他就可以進(jìn)入其他每個用戶所在的同一個VLAN上。不過，用戶可能仍在不同的網(wǎng)段，所以惡意黑客就需要改動他的IP地址，才能進(jìn)入他想要攻擊的主機(jī)所在的同一個網(wǎng)段。

惡意黑客只要連接到交換機(jī)，并在自己的計(jì)算機(jī)和交換機(jī)之間建立一條中繼，就可以充分利用VTP。黑客可以發(fā)送VTP消息到配置版本號高于當(dāng)前的VTP服務(wù)器，這會導(dǎo)致所有交換機(jī)都與惡意黑客的計(jì)算機(jī)進(jìn)行同步，從而把所有非默認(rèn)的VLAN從VLAN數(shù)據(jù)庫中移除出去。

這么多種攻擊，可見我們實(shí)施的VLAN是多么的脆弱，不過我們值得慶幸的是：如果交換機(jī)的配置不正確或不適當(dāng)，才有可能引發(fā)意外行為或發(fā)生安全問題。所以我們在下面會告訴大家配置交換機(jī)時必須注意的關(guān)鍵點(diǎn)。