VLAN跳躍攻擊及應(yīng)對(duì)策略研究

高強(qiáng)

（廣州民航職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系，廣州 510403）

VLAN跳躍攻擊及應(yīng)對(duì)策略研究

高強(qiáng)

（廣州民航職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系，廣州 510403）

在交換式以太網(wǎng)中，使用VLAN技術(shù)可以有效地實(shí)現(xiàn)網(wǎng)絡(luò)的邏輯隔離和廣播風(fēng)暴控制，可以實(shí)現(xiàn)流量控制并有利于提高網(wǎng)絡(luò)安全。在實(shí)施VLAN的過(guò)程中，會(huì)用到動(dòng)態(tài)中繼協(xié)議（DTP）、Trunk、802.1Q封裝等相關(guān)技術(shù)，而攻擊者可以利用這些技術(shù)的運(yùn)行原理來(lái)實(shí)現(xiàn)VLAN跳躍攻擊。通過(guò)對(duì)VLAN跳躍攻擊的實(shí)現(xiàn)方式及原理進(jìn)行詳細(xì)分析，并給出相應(yīng)的應(yīng)對(duì)策略，可以有效地防范此種攻擊方式。

虛擬局域網(wǎng)；跳躍攻擊；標(biāo)簽；動(dòng)態(tài)中繼協(xié)議

0 引言

虛擬局域網(wǎng)（VLAN）是一種將局域網(wǎng)內(nèi)的設(shè)備進(jìn)行邏輯劃分，從而形成多個(gè)邏輯分組的二層技術(shù)，邏輯分組通過(guò)相應(yīng)的VLAN ID進(jìn)行標(biāo)示，每個(gè)邏輯分組即為一個(gè)VLAN，它是一個(gè)獨(dú)立的廣播域，在沒(méi)有三層設(shè)備的情況下，不同VLAN之間不能進(jìn)行通信，VLAN內(nèi)部的廣播和單播流量不能轉(zhuǎn)發(fā)到其他VLAN中，因此，VLAN有助于流量控制、提高網(wǎng)絡(luò)的安全性和簡(jiǎn)化網(wǎng)絡(luò)管理[1]。VLAN劃分的拓?fù)淙鐖D1所示。

圖1 VLAN劃分拓?fù)鋱D

在圖 1 中，PC1、PC3屬于 VLAN 10，PC2、PC4屬于VLAN 20，S1、S2是普通的二層交換機(jī)，在正常情況下，根據(jù)VLAN的通信規(guī)則，同一VLAN中的設(shè)備能夠相互訪問(wèn)，不同VLAN之間的設(shè)備不能相互訪問(wèn)[2]，因此，PC1只能訪問(wèn)PC3，不能訪問(wèn)PC2、PC4。所謂VLAN跳躍攻擊，就是在沒(méi)有三層設(shè)備的情況下，通過(guò)非法手段獲取其他VLAN中數(shù)據(jù)或者發(fā)送數(shù)據(jù)到其他VLAN的攻擊技術(shù)，下面介紹VLAN跳躍攻擊的實(shí)現(xiàn)方式和原理。

1 VLAN跳躍攻擊的實(shí)現(xiàn)方式和原理

VLAN跳躍攻擊的實(shí)現(xiàn)方式有兩種，分別是基于DTP和基于雙標(biāo)簽的VLAN跳躍攻擊，下面分別進(jìn)行介紹。

1.1 基于DTP的VLAN躍攻擊

交換機(jī)的端口模式有TRUNK和ACCESS兩種，其中，TRUNK模式端口允許傳輸多個(gè)不同VLAN的數(shù)據(jù)，一般用于連接交換機(jī)；ACCESS模式端口只能傳輸指定的單個(gè)VLAN的數(shù)據(jù)，一般用于連接計(jì)算機(jī)。

DTP（動(dòng)態(tài)中繼協(xié)議）是交換機(jī)之間用來(lái)協(xié)商端口成為T(mén)RUNK模式的協(xié)議，通過(guò)802.1Q協(xié)議進(jìn)行數(shù)據(jù)封裝，其協(xié)商參數(shù)有AUTO（動(dòng)態(tài)自動(dòng)）和DESIRABLE（動(dòng)態(tài)自動(dòng)），AUTO不主動(dòng)發(fā)送協(xié)商消息，只被動(dòng)接受；DESIRABLE會(huì)主動(dòng)發(fā)送協(xié)商消息，默認(rèn)情況下，交換機(jī)會(huì)自動(dòng)運(yùn)行DTP。

交換機(jī)的端口模式除了可以通過(guò)DTP進(jìn)行協(xié)商確定，也可以通過(guò)手動(dòng)配置，直接將端口設(shè)置為T(mén)RUNK或者ACCESS模式，還可以將DTP和手動(dòng)配置配合使用來(lái)確定交換機(jī)端口模式，如表1所示。

表1 交換機(jī)端口模式

從表1可以看出，通過(guò)DTP協(xié)商，交換機(jī)S1、S2的端口在3種情況下協(xié)商為T(mén)RUNK模式，在1種情況為ACCESS模式。另外，只要一端手動(dòng)設(shè)置為T(mén)RUNK或者ACCESS模式，則對(duì)端的端口模式一定為T(mén)RUNK或者ACCESS，因?yàn)槭謩?dòng)配置的優(yōu)先級(jí)要高于DTP協(xié)商。當(dāng)兩端的端口手動(dòng)設(shè)置的模式不一致時(shí)，此時(shí)的鏈路成為受限的鏈路（表中通過(guò)“---”表示），該鏈路將不能正常使用。

基于DTP的VLAN跳躍攻擊充分利用了交換機(jī)自動(dòng)運(yùn)行DTP的原理，攻擊者主機(jī)通過(guò)發(fā)送欺騙的DESIRABLE消息，宣布它這一端期望成為T(mén)RUNK模式，對(duì)端的真實(shí)交換機(jī)收到該DESIRABLE消息后將會(huì)將相應(yīng)的端口設(shè)置為T(mén)RUNK模式，一旦TRUNK功能被啟用，因?yàn)門(mén)RUNK端口允許傳輸多個(gè)VLAN的數(shù)據(jù)，因此交換機(jī)上所有VLAN數(shù)據(jù)就會(huì)通過(guò)該TRUNK端口發(fā)送到攻擊者主機(jī)上，攻擊者主機(jī)便可以獲取其他VLAN中的數(shù)據(jù)。另外，攻擊者主機(jī)還可以通過(guò)給數(shù)據(jù)幀添加目標(biāo)VLAN的標(biāo)簽，交換機(jī)隨后將會(huì)把該數(shù)據(jù)轉(zhuǎn)發(fā)到目的VLAN，從而實(shí)現(xiàn)了跨VLAN的通信。

1.2 基于雙標(biāo)簽的VLAN跳躍攻擊

交換機(jī)進(jìn)行了VLAN劃分以后，所以的數(shù)據(jù)中將會(huì)攜帶VLAN標(biāo)簽，以標(biāo)識(shí)該數(shù)據(jù)屬于哪個(gè)VLAN，交換機(jī)通常只會(huì)檢查最外層的標(biāo)簽，即假如某個(gè)數(shù)據(jù)封裝了兩層VLAN標(biāo)簽，交換機(jī)只會(huì)查看最外層VLAN標(biāo)簽，而認(rèn)為里層的VLAN標(biāo)簽屬于數(shù)據(jù)內(nèi)容，將不做檢查。

本征VLAN（Native VLAN）是一種特殊的VLAN，該VLAN中的數(shù)據(jù)，默認(rèn)情況下在通過(guò)TRUNK端口的時(shí)候，其VLAN標(biāo)簽將會(huì)被剝掉，然后再數(shù)據(jù)轉(zhuǎn)發(fā)出去。對(duì)于本征VLAN之外其他VLAN中的數(shù)據(jù)，通過(guò)TRUNK端口時(shí)必須攜帶VLAN標(biāo)簽。

和基于DTP的VLAN跳躍攻擊不同，基于雙標(biāo)簽的VLAN跳躍攻擊不是利用DTP，而是利用本征VLAN的數(shù)據(jù)通過(guò)TRUNK端口不需要攜帶標(biāo)簽這一原理。為了更好地說(shuō)明攻擊過(guò)程，我們假設(shè)本征VLAN為VLAN 10，被攻擊的VLAN為VLAN 20，基于雙標(biāo)簽的VLAN跳躍攻擊的步驟如下[3]：

（1）攻擊者主機(jī)封裝雙VLAN標(biāo)簽的數(shù)據(jù)幀并發(fā)送給交換機(jī)，該數(shù)據(jù)幀的外層標(biāo)簽為VLAN 10（Native VLAN），里層標(biāo)簽標(biāo)記為VLAN 20（攻擊目標(biāo)VLAN）。

（2）交換機(jī)收到這個(gè)數(shù)據(jù)幀，只檢查外層標(biāo)簽，交換機(jī)看到這個(gè)數(shù)據(jù)幀是發(fā)往VLAN 10的，而VLAN 10是Native VLAN，交換機(jī)剝掉VLAN 10的標(biāo)簽后，如果該數(shù)據(jù)幀的目的MAC不在當(dāng)前MAC地址表中，交換機(jī)將該數(shù)據(jù)幀進(jìn)行泛洪（發(fā)送數(shù)據(jù)幀到所有的VLAN 10的端口和TRUNK端口）。由于VLAN 10是Native VLAN，因此被剝掉 VLAN 10標(biāo)簽的數(shù)據(jù)幀到達(dá)TRUNK端口時(shí)不需要重新打標(biāo)簽而直接發(fā)送到對(duì)端的交換機(jī)上，在這時(shí)，VLAN 20的標(biāo)簽絲毫沒(méi)有受影響，并且沒(méi)有被該交換機(jī)檢查到。

（3）數(shù)據(jù)幀到達(dá)第二個(gè)交換機(jī)，由于外層的VLAN 10標(biāo)簽之前已經(jīng)被剝掉了，因此該交換機(jī)只看到里層的VLAN 20標(biāo)簽，并據(jù)此識(shí)別出該數(shù)據(jù)幀時(shí)發(fā)往VLAN 20的，即攻擊目標(biāo)VLAN。交換機(jī)根據(jù)當(dāng)前MAC地址表?xiàng)l目是否包含受攻擊主機(jī)的地址，然后會(huì)發(fā)送該數(shù)據(jù)幀到受攻擊的主機(jī)或者泛洪它，從而在沒(méi)有三層設(shè)備的前提下，實(shí)現(xiàn)數(shù)據(jù)幀的跨VLAN進(jìn)行傳輸。

2 VLAN跳躍攻擊的應(yīng)對(duì)策略

前面闡述了兩種VLAN跳躍攻擊的實(shí)現(xiàn)方式和原理，接下來(lái)談?wù)勏鄳?yīng)的應(yīng)對(duì)策略。

第一種攻擊利用的是交換機(jī)自動(dòng)運(yùn)行DTP，因此，應(yīng)對(duì)此種攻擊的策略就是把DTP協(xié)商功能關(guān)閉掉，然后手動(dòng)設(shè)置交換機(jī)的端口模式，即連接計(jì)算機(jī)的端口設(shè)置為ACCESS，連接交換機(jī)的端口設(shè)置為T(mén)RUNK模式，在這種情況，攻擊者主機(jī)即使發(fā)送虛假的DESIR?ABLE消息，該鏈路也只能成為ACCESS模式，從而只能收到端口所在的VLAN數(shù)據(jù)，不能接收其他VLAN的數(shù)據(jù)。

第二種攻擊利用的是攻擊者主機(jī)所處的VLAN和Native VLAN相同，而默認(rèn)情況下Native VLAN中的數(shù)據(jù)不需要打標(biāo)簽這一原理，因此，應(yīng)對(duì)此種攻擊的策略就是把Native VLAN設(shè)置為啞VLAN，啞VLAN是指該VLAN中不包含任何主機(jī)，從而使得攻擊者主機(jī)所處的VLAN和Native VLAN就不一樣，這時(shí)如果攻擊者主機(jī)將外層標(biāo)簽設(shè)置與所處VLAN相同，那么到達(dá)TRUNK端口時(shí)，外層標(biāo)簽無(wú)法剝掉，數(shù)據(jù)只能發(fā)送攻擊者主機(jī)所處的VALN中；如果攻擊者主機(jī)將外層標(biāo)簽設(shè)置與Native VLAN相同，那么接收該數(shù)據(jù)幀的交換機(jī)端口就會(huì)丟棄該數(shù)據(jù)幀，因?yàn)樵摱丝诓粚儆贜a?tive VLAN。

應(yīng)對(duì)第二種攻擊的另外一種方式，就是強(qiáng)制Na?tive VLAN的數(shù)據(jù)打標(biāo)簽，這樣的話，交換機(jī)只根據(jù)外層標(biāo)簽進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，里層標(biāo)簽不能發(fā)揮作用。

3 結(jié)語(yǔ)

VLAN技術(shù)在為網(wǎng)絡(luò)管理帶來(lái)便利與信息安全的同時(shí),也為攻擊留下了隱患。只要我們了解了攻擊的原理,就可以針對(duì)存在的漏洞進(jìn)行有效的防范。針對(duì)VLAN跳躍攻擊的防范的手段和方法也不局限于本文中提到的幾種,在實(shí)際的應(yīng)用中要根據(jù)具體的攻擊手段采取相應(yīng)的防范方法,盡量做到在網(wǎng)絡(luò)設(shè)備的配置過(guò)程中不留下攻擊的漏洞。

[1]汪金龍，侯桂云.VLAN技術(shù)在局域網(wǎng)安全中的應(yīng)用研究[J].價(jià)值工程,2016（35）:91-92.

[2]唐年慶，陳曉燕.VLAN技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2013（21）:147-148

[3]Cisco Networking Academy.CCNA安全[M].北京郵電大學(xué).第2版.北京:人民郵電出版社,2014.

Abstract：In the switched Ethernet,the use of VLAN technology can effectively realize the logical isolation and control broadcast storm of the net?work,it can also realize traffic controlling and improve the network security.In the process of VLAN implementation,it uses the Dynamic Trunk Protocol(DTP),Trunk,802.1Q encapsulation and other related technologies,and attackers can also use these technologies to achieve the VLAN jump attacks.Analyzes the implementation and principle of VLAN jump attack in details,and presents the correspond?ing countermeasures,which can effectively prevent this attack.

Keywords：VLAN;Jump Attack;Tag;DTP

Research on VLAN Jump Attack and Countermeasures

GAO Qiang

（Department of Computer,Guangzhou Civil Aviation College，Guangzhou 510403）

2015年度廣東省高職教改項(xiàng)目（No.GDJ2015199）

1007-1423（2017）26-0048-03

10.3969/j.issn.1007-1423.2017.26.012

高強(qiáng)（1984-），男，江西上饒人，碩士，講師，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)技術(shù)、算法

2017-06-20

2017-09-10