返回
知己知彼用vlan技术防御黑客攻击

知己知彼用vlan技术防御黑客攻击

ID:10664655

大小:65.50 KB

页数:7页

时间:2018-07-07

知己知彼用vlan技术防御黑客攻击_第1页
知己知彼用vlan技术防御黑客攻击_第2页
知己知彼用vlan技术防御黑客攻击_第3页
知己知彼用vlan技术防御黑客攻击_第4页
知己知彼用vlan技术防御黑客攻击_第5页
资源描述:

《知己知彼用vlan技术防御黑客攻击》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、知己知彼用VLAN技术防御黑客攻击~教育资源库  为什么要用VLAN呢?VLAN的实施是从逻辑上对用户进行了划分,使不同VLAN之中的用户无法直接通信。这种技术方便实施,节约资金。然而随着VLAN的应用范围越来越广,而同VLAN相关的安全管理问题也越来越严重。  VLAN技术的应用为网络的安全防范提供了一种基于管理方式上的策略方法,我们可以根据企业网络管理的特点有针对性地选择不同的VLAN划分手段。虽然网络安全在某种程度上得到了一定的保障,但安全往往与危险并存,面对这些花样翻新的攻击手段,如何采取有效的防范措施?在本文中,将针对应用VLAN技术管理的网络,介绍黑

2、客的攻击手段和我们可以采取的防御手段。  一.常见的VLAN攻击  目前常见的VLAN的攻击有以下几种:  1.802.1Q和ISL标记攻击  标记攻击属于恶意攻击,利用它,一个VLAN上的用户可以非法访问另一个VLAN。例如,如果将交换机端口配置成DTP(DYNAMICTRUNKPROTCOL)auto,用于接收伪造DTP(DYNAMICTRUNKPROTCOL)分组,那么,它将成为干道端口,并有可能接收通往任何VLAN的流量。由此,恶意用户可以通过受控制的端口与其它VLAN通信。有时即便只是接收普通分组,交换机端口也可能违背自己的初衷,像全能干道端口那样操作

3、(例如,从本地以外的其它VLAN接收分组),这种现象通常称为VLAN渗漏。  对于这种攻击,只需将所有不可信端口(不符合信任条件)上的DTP(DYNAMICTRUNKPROTCOL)设置为关,即可预防这种攻击的侵袭。CiscoCatalyst2950、Catalyst3550、Catalyst4000和Catalyst6000系列交换机上运行的软件和硬件还能够在所有端口上实施适当的流量分类和隔离。  2.双封装802.1Q/嵌套式VLAN攻击  在交换机内部,VLAN数字和标识用特殊扩展格式表示,目的是让转发路径保持端到端VLAN独立,而且不会损失任何信息。在交

4、换机外部,标记规则由ISL或802.1Q等标准规定。  ISL属于思科专有技术,是设备中使用的扩展分组报头的紧凑形式,每个分组总会获得一个标记,没有标识丢失风险,因而可以提高安全性。  另一方面,制订了802.1Q的IEEE委员会决定,为实现向下兼容性,最好支持本征VLAN,即支持与802.1Q链路上任何标记显式不相关的VLAN。这种VLAN以隐含方式被用于接收802.1Q端口上的所有无标记流量。  这种功能是用户所希望的,因为利用这个功能,802.1Q端口可以通过收发无标记流量直接与老802.3端口对话。但是,在所有其他情况下,这种功能可能会非常有害,因为通过

5、802.1Q链路传输时,与本地VLAN相关的分组将丢失其标记,例如丢失其服务等级(802.1p位)。  但是基于这些原因丢失识别途径和丢失分类信息,就应避免使用本征VLAN,更不要说还有其它原因,如图1所示。  图1双封装攻击  先剥离,再送回攻击者802.1q帧,VLANA、VLANB数据包含本征VLANA的干道VLANB数据  注意:只有干道所处的本征VLAN与攻击者相同,才会发生作用。  当双封装802.1Q分组恰巧从VLAN与干道的本征VLAN相同的设备进入网络时,这些分组的VLAN标识将无法端到端保留,因为802.1Q干道总会对分组进行修改,即剥离掉其

6、外部标记。删除外部标记之后,内部标记将成为分组的惟一VLAN标识符。因此,如果用两个不同的标记对分组进行双封装,流量就可以在不同VLAN之间跳转。  这种情况将被视为误配置,因为802.1Q标准并不逼迫用户在这些情况下使用本征VLAN。事实上,应一贯使用的适当配置是从所有802.1Q干道清除本地VLAN(将其设置为802.1q-all-tagged模式能够达到完全相同的效果)。在无法清除本地VLAN时,应选择未使用的VLAN作为所有干道的本地VLAN,而且不能将该VLAN用于任何其它目的。STP、DTP(DYNAMICTRUNKPROTCOL)和UDLD等协议应

7、为本地VLAN的唯一合法用户,而且其流量应该与所有数据分组完全隔离开。  3.VLAN跳跃攻击  虚拟局域网(VLAN)是对广播域进行分段的方法。VLAN还经常用于为网络提供额外的安全,因为一个VLAN上的计算机无法与没有明确访问权的另一个VLAN上的用户进行对话。不过VLAN本身不足以保护环境的安全,恶意黑客通过VLAN跳跃攻击,即使未经授权,也可以从一个VLAN跳到另一个VLAN。  VLAN跳跃攻击(VLANhopping)依靠的是动态中继协议(DTP(DYNAMICTRUNKPROTCOL))。如果有两个相互连接的交换机,DTP(DYNAMICTRUNK

8、PROTCOL)就能够对

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。