VLAN攻擊手段是黑客基于VLAN技術應用所采取的攻擊方式，面對這些花樣翻新的攻擊手段，如何采取有效的防范措施?在本文中，將針對應用VLAN技術管理的網絡，介紹黑客的攻擊手段和我們可以采取的防御手段。

目前常見的VLAN的攻擊有以下幾種：

VLAN攻擊1.802.1Q 和 ISL 標記攻擊

標記攻擊屬于惡意攻擊，利用它，一個 VLAN 上的用戶可以非法訪問另一個 VLAN 。例如，如果將交換機端口配置成 DTP(DYNAMIC TRUNK PROTCOL) auto ，用于接收偽造 DTP(DYNAMIC TRUNK PROTCOL) 分組，那么，它將成為干道端口，并有可能接收通往任何 VLAN 的流量。由此，惡意用戶可以通過受控制的端口與其它 VLAN 通信。 有時即便只是接收普通分組，交換機端口也可能違背自己的初衷，像全能干道端口那樣操作(例如，從本地以外的其它 VLAN 接收分組)，這種現象通常稱為“VLAN 滲漏”。

對于這種攻擊，只需將所有不可信端口(不符合信任條件)上的 DTP(DYNAMIC TRUNK PROTCOL) 設置為“關”，即可預防這種攻擊的侵襲。 Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4000 和 Catalyst 6000 系列交換機上運行的軟件和硬件還能夠在所有端口上實施適當的流量分類和隔離。

VLAN攻擊2.雙封裝 802.1Q/ 嵌套式 VLAN 攻擊

在交換機內部， VLAN 數字和標識用特殊擴展格式表示，目的是讓轉發路徑保持端到端 VLAN 獨立，而且不會損失任何信息。在交換機外部，標記規則由 ISL 或 802.1Q 等標準規定。

ISL 屬于思科專有技術，是設備中使用的擴展分組報頭的緊湊形式，每個分組總會獲得一個標記，沒有標識丟失風險，因而可以提高安全性。

另一方面，制訂了 802.1Q 的 IEEE 委員會決定，為實現向下兼容性，最好支持本征 VLAN ，即支持與 802.1Q 鏈路上任何標記顯式不相關的 VLAN 。這種 VLAN 以隱含方式被用于接收802.1Q端口上的所有無標記流量。

這種功能是用戶所希望的，因為利用這個功能，802.1Q端口可以通過收發無標記流量直接與老 802.3 端口對話。但是，在所有其他情況下，這種功能可能會非常有害，因為通過 802.1Q 鏈路傳輸時，與本地 VLAN 相關的分組將丟失其標記，例如丟失其服務等級( 802.1p 位)。
　
先剝離，再送回攻擊者 802.1q 幀 ，VLAN A、 VLAN B 數據包含本征VLAN A 的干道 VLAN B 數據

注意： 只有干道所處的本征 VLAN 與攻擊者相同，才會發生作用。

當雙封裝 802.1Q 分組恰巧從 VLAN與干道的本征 VLAN 相同的設備進入網絡時，這些分組的 VLAN 標識將無法端到端保留，因為 802.1Q 干道總會對分組進行修改，即剝離掉其外部標記。刪除外部標記之后，內部標記將成為分組的惟一 VLAN 標識符。因此，如果用兩個不同的標記對分組進行雙封裝，流量就可以在不同 VLAN 之間跳轉。

這種情況將被視為誤配置，因為 802.1Q 標準并不逼迫用戶在這些情況下使用本征 VLAN 。事實上，應一貫使用的適當配置是從所有 802.1Q 干道清除本地 VLAN (將其設置為 802.1q-all-tagged 模式能夠達到完全相同的效果)。在無法清除本地 VLAN 時， 應選擇未使用的 VLAN 作為所有干道的本地 VLAN ，而且不能將該 VLAN 用于任何其它目的 。 STP、DTP(DYNAMIC TRUNK PROTCOL)和UDLD等協議應為本地 VLAN 的唯一合法用戶，而且其流量應該與所有數據分組完全隔離開。

VLAN攻擊3.VLAN跳躍攻擊

虛擬局域網(VLAN)是對廣播域進行分段的方法。VLAN還經常用于為網絡提供額外的安全，因為一個VLAN上的計算機無法與沒有明確訪問權的另一個VLAN上的用戶進行對話。不過VLAN本身不足以保護環境的安全，惡意黑客通過VLAN跳躍攻擊，即使未經授權，也可以從一個VLAN跳到另一個VLAN。

VLAN跳躍攻擊(VLAN hopping)依靠的是動態中繼協議(DTP(DYNAMIC TRUNK PROTCOL))。如果有兩個相互連接的交換機，DTP(DYNAMIC TRUNK PROTCOL)就能夠對兩者進行協商，確定它們要不要成為802.1Q中繼，洽商過程是通過檢查端口的配置狀態來完成的。

VLAN跳躍攻擊充分利用了DTP(DYNAMIC TRUNK PROTCOL)，在VLAN跳躍攻擊中，黑客可以欺騙計算機，冒充成另一個交換機發送虛假的DTP(DYNAMIC TRUNK PROTCOL)協商消息，宣布它想成為中繼; 真實的交換機收到這個DTP(DYNAMIC TRUNK PROTCOL)消息后，以為它應當啟用802.1Q中繼功能，而一旦中繼功能被啟用，通過所有VLAN的信息流就會發送到黑客的計算機上。

中繼建立起來后，黑客可以繼續探測信息流，也可以通過給幀添加802.1Q信息，指定想把攻擊流量發送給哪個VLAN。

VLAN攻擊4.VTP攻擊

VLAN中繼協議(VTP,VLAN Trunk Protocol)是一種管理協議，它可以減少交換環境中的配置數量。就VTP而言，交換機可以是VTP服務器、VTP客戶端或者VTP透明交換機，這里著重討論VTP服務器和VTP客戶端。用戶每次對工作于VTP服務器模式下的交換機進行配置改動時，無論是添加、修改還是移除VLAN，VTP配置版本號都會增加1，VTP客戶端看到配置版本號大于目前的版本號后，就自動與VTP服務器進行同步。

惡意黑客可以讓VTP為己所用，移除網絡上的所有VLAN(除了默認的VLAN外)，這樣他就可以進入其他每個用戶所在的同一個VLAN上。不過，用戶可能仍在不同的網段，所以惡意黑客就需要改動他的IP地址，才能進入他想要攻擊的主機所在的同一個網段。

惡意黑客只要連接到交換機，并在自己的計算機和交換機之間建立一條中繼，就可以充分利用VTP。黑客可以發送VTP消息到配置版本號高于當前的VTP服務器，這會導致所有交換機都與惡意黑客的計算機進行同步，從而把所有非默認的VLAN從VLAN數據庫中移除出去。

這么多種攻擊，可見我們實施的VLAN是多么的脆弱，不過我們值得慶幸的是：如果交換機的配置不正確或不適當，才有可能引發意外行為或發生安全問題。所以我們在下面會告訴大家配置交換機時必須注意的關鍵點。
 

【編輯推薦】

1. Web專用網站服務器的安全設置
2. 怎樣進行路由器的安全設置
3. 安全設置策略及自帶防火墻介紹
4. 企業如何對員工進行網絡安全培訓
5. 企業如何在復雜環境中降低安全風險