高強

（廣州民航職業(yè)技術學院計算機系，廣州 510403）

VLAN跳躍攻擊及應對策略研究

高強

（廣州民航職業(yè)技術學院計算機系，廣州 510403）

在交換式以太網(wǎng)中，使用VLAN技術可以有效地實現(xiàn)網(wǎng)絡的邏輯隔離和廣播風暴控制，可以實現(xiàn)流量控制并有利于提高網(wǎng)絡安全。在實施VLAN的過程中，會用到動態(tài)中繼協(xié)議（DTP）、Trunk、802.1Q封裝等相關技術，而攻擊者可以利用這些技術的運行原理來實現(xiàn)VLAN跳躍攻擊。通過對VLAN跳躍攻擊的實現(xiàn)方式及原理進行詳細分析，并給出相應的應對策略，可以有效地防范此種攻擊方式。

虛擬局域網(wǎng)；跳躍攻擊；標簽；動態(tài)中繼協(xié)議

0 引言

虛擬局域網(wǎng)（VLAN）是一種將局域網(wǎng)內的設備進行邏輯劃分，從而形成多個邏輯分組的二層技術，邏輯分組通過相應的VLAN ID進行標示，每個邏輯分組即為一個VLAN，它是一個獨立的廣播域，在沒有三層設備的情況下，不同VLAN之間不能進行通信，VLAN內部的廣播和單播流量不能轉發(fā)到其他VLAN中，因此，VLAN有助于流量控制、提高網(wǎng)絡的安全性和簡化網(wǎng)絡管理[1]。VLAN劃分的拓撲如圖1所示。

圖1 VLAN劃分拓撲圖

在圖 1 中，PC1、PC3屬于 VLAN 10，PC2、PC4屬于VLAN 20，S1、S2是普通的二層交換機，在正常情況下，根據(jù)VLAN的通信規(guī)則，同一VLAN中的設備能夠相互訪問，不同VLAN之間的設備不能相互訪問[2]，因此，PC1只能訪問PC3，不能訪問PC2、PC4。所謂VLAN跳躍攻擊，就是在沒有三層設備的情況下，通過非法手段獲取其他VLAN中數(shù)據(jù)或者發(fā)送數(shù)據(jù)到其他VLAN的攻擊技術，下面介紹VLAN跳躍攻擊的實現(xiàn)方式和原理。

1 VLAN跳躍攻擊的實現(xiàn)方式和原理

VLAN跳躍攻擊的實現(xiàn)方式有兩種，分別是基于DTP和基于雙標簽的VLAN跳躍攻擊，下面分別進行介紹。

1.1 基于DTP的VLAN躍攻擊

交換機的端口模式有TRUNK和ACCESS兩種，其中，TRUNK模式端口允許傳輸多個不同VLAN的數(shù)據(jù)，一般用于連接交換機；ACCESS模式端口只能傳輸指定的單個VLAN的數(shù)據(jù)，一般用于連接計算機。

DTP（動態(tài)中繼協(xié)議）是交換機之間用來協(xié)商端口成為TRUNK模式的協(xié)議，通過802.1Q協(xié)議進行數(shù)據(jù)封裝，其協(xié)商參數(shù)有AUTO（動態(tài)自動）和DESIRABLE（動態(tài)自動），AUTO不主動發(fā)送協(xié)商消息，只被動接受；DESIRABLE會主動發(fā)送協(xié)商消息，默認情況下，交換機會自動運行DTP。

交換機的端口模式除了可以通過DTP進行協(xié)商確定，也可以通過手動配置，直接將端口設置為TRUNK或者ACCESS模式，還可以將DTP和手動配置配合使用來確定交換機端口模式，如表1所示。

表1 交換機端口模式

從表1可以看出，通過DTP協(xié)商，交換機S1、S2的端口在3種情況下協(xié)商為TRUNK模式，在1種情況為ACCESS模式。另外，只要一端手動設置為TRUNK或者ACCESS模式，則對端的端口模式一定為TRUNK或者ACCESS，因為手動配置的優(yōu)先級要高于DTP協(xié)商。當兩端的端口手動設置的模式不一致時，此時的鏈路成為受限的鏈路（表中通過“---”表示），該鏈路將不能正常使用。

基于DTP的VLAN跳躍攻擊充分利用了交換機自動運行DTP的原理，攻擊者主機通過發(fā)送欺騙的DESIRABLE消息，宣布它這一端期望成為TRUNK模式，對端的真實交換機收到該DESIRABLE消息后將會將相應的端口設置為TRUNK模式，一旦TRUNK功能被啟用，因為TRUNK端口允許傳輸多個VLAN的數(shù)據(jù)，因此交換機上所有VLAN數(shù)據(jù)就會通過該TRUNK端口發(fā)送到攻擊者主機上，攻擊者主機便可以獲取其他VLAN中的數(shù)據(jù)。另外，攻擊者主機還可以通過給數(shù)據(jù)幀添加目標VLAN的標簽，交換機隨后將會把該數(shù)據(jù)轉發(fā)到目的VLAN，從而實現(xiàn)了跨VLAN的通信。

1.2 基于雙標簽的VLAN跳躍攻擊

交換機進行了VLAN劃分以后，所以的數(shù)據(jù)中將會攜帶VLAN標簽，以標識該數(shù)據(jù)屬于哪個VLAN，交換機通常只會檢查最外層的標簽，即假如某個數(shù)據(jù)封裝了兩層VLAN標簽，交換機只會查看最外層VLAN標簽，而認為里層的VLAN標簽屬于數(shù)據(jù)內容，將不做檢查。

本征VLAN（Native VLAN）是一種特殊的VLAN，該VLAN中的數(shù)據(jù)，默認情況下在通過TRUNK端口的時候，其VLAN標簽將會被剝掉，然后再數(shù)據(jù)轉發(fā)出去。對于本征VLAN之外其他VLAN中的數(shù)據(jù)，通過TRUNK端口時必須攜帶VLAN標簽。

和基于DTP的VLAN跳躍攻擊不同，基于雙標簽的VLAN跳躍攻擊不是利用DTP，而是利用本征VLAN的數(shù)據(jù)通過TRUNK端口不需要攜帶標簽這一原理。為了更好地說明攻擊過程，我們假設本征VLAN為VLAN 10，被攻擊的VLAN為VLAN 20，基于雙標簽的VLAN跳躍攻擊的步驟如下[3]：

（1）攻擊者主機封裝雙VLAN標簽的數(shù)據(jù)幀并發(fā)送給交換機，該數(shù)據(jù)幀的外層標簽為VLAN 10（Native VLAN），里層標簽標記為VLAN 20（攻擊目標VLAN）。

（2）交換機收到這個數(shù)據(jù)幀，只檢查外層標簽，交換機看到這個數(shù)據(jù)幀是發(fā)往VLAN 10的，而VLAN 10是Native VLAN，交換機剝掉VLAN 10的標簽后，如果該數(shù)據(jù)幀的目的MAC不在當前MAC地址表中，交換機將該數(shù)據(jù)幀進行泛洪（發(fā)送數(shù)據(jù)幀到所有的VLAN 10的端口和TRUNK端口）。由于VLAN 10是Native VLAN，因此被剝掉 VLAN 10標簽的數(shù)據(jù)幀到達TRUNK端口時不需要重新打標簽而直接發(fā)送到對端的交換機上，在這時，VLAN 20的標簽絲毫沒有受影響，并且沒有被該交換機檢查到。

（3）數(shù)據(jù)幀到達第二個交換機，由于外層的VLAN 10標簽之前已經(jīng)被剝掉了，因此該交換機只看到里層的VLAN 20標簽，并據(jù)此識別出該數(shù)據(jù)幀時發(fā)往VLAN 20的，即攻擊目標VLAN。交換機根據(jù)當前MAC地址表條目是否包含受攻擊主機的地址，然后會發(fā)送該數(shù)據(jù)幀到受攻擊的主機或者泛洪它，從而在沒有三層設備的前提下，實現(xiàn)數(shù)據(jù)幀的跨VLAN進行傳輸。

2 VLAN跳躍攻擊的應對策略

前面闡述了兩種VLAN跳躍攻擊的實現(xiàn)方式和原理，接下來談談相應的應對策略。

第一種攻擊利用的是交換機自動運行DTP，因此，應對此種攻擊的策略就是把DTP協(xié)商功能關閉掉，然后手動設置交換機的端口模式，即連接計算機的端口設置為ACCESS，連接交換機的端口設置為TRUNK模式，在這種情況，攻擊者主機即使發(fā)送虛假的DESIR?ABLE消息，該鏈路也只能成為ACCESS模式，從而只能收到端口所在的VLAN數(shù)據(jù)，不能接收其他VLAN的數(shù)據(jù)。

第二種攻擊利用的是攻擊者主機所處的VLAN和Native VLAN相同，而默認情況下Native VLAN中的數(shù)據(jù)不需要打標簽這一原理，因此，應對此種攻擊的策略就是把Native VLAN設置為啞VLAN，啞VLAN是指該VLAN中不包含任何主機，從而使得攻擊者主機所處的VLAN和Native VLAN就不一樣，這時如果攻擊者主機將外層標簽設置與所處VLAN相同，那么到達TRUNK端口時，外層標簽無法剝掉，數(shù)據(jù)只能發(fā)送攻擊者主機所處的VALN中；如果攻擊者主機將外層標簽設置與Native VLAN相同，那么接收該數(shù)據(jù)幀的交換機端口就會丟棄該數(shù)據(jù)幀，因為該端口不屬于Na?tive VLAN。

應對第二種攻擊的另外一種方式，就是強制Na?tive VLAN的數(shù)據(jù)打標簽，這樣的話，交換機只根據(jù)外層標簽進行數(shù)據(jù)轉發(fā)，里層標簽不能發(fā)揮作用。

3 結語

VLAN技術在為網(wǎng)絡管理帶來便利與信息安全的同時,也為攻擊留下了隱患。只要我們了解了攻擊的原理,就可以針對存在的漏洞進行有效的防范。針對VLAN跳躍攻擊的防范的手段和方法也不局限于本文中提到的幾種,在實際的應用中要根據(jù)具體的攻擊手段采取相應的防范方法,盡量做到在網(wǎng)絡設備的配置過程中不留下攻擊的漏洞。

[1]汪金龍，侯桂云.VLAN技術在局域網(wǎng)安全中的應用研究[J].價值工程,2016（35）:91-92.

[2]唐年慶，陳曉燕.VLAN技術在企業(yè)網(wǎng)絡安全中的應用[J].計算機光盤軟件與應用，2013（21）:147-148

[3]Cisco Networking Academy.CCNA安全[M].北京郵電大學.第2版.北京:人民郵電出版社,2014.

Abstract：In the switched Ethernet,the use of VLAN technology can effectively realize the logical isolation and control broadcast storm of the net?work,it can also realize traffic controlling and improve the network security.In the process of VLAN implementation,it uses the Dynamic Trunk Protocol(DTP),Trunk,802.1Q encapsulation and other related technologies,and attackers can also use these technologies to achieve the VLAN jump attacks.Analyzes the implementation and principle of VLAN jump attack in details,and presents the correspond?ing countermeasures,which can effectively prevent this attack.

Keywords：VLAN;Jump Attack;Tag;DTP

Research on VLAN Jump Attack and Countermeasures

GAO Qiang

（Department of Computer,Guangzhou Civil Aviation College，Guangzhou 510403）

2015年度廣東省高職教改項目（No.GDJ2015199）

1007-1423（2017）26-0048-03

10.3969/j.issn.1007-1423.2017.26.012

高強（1984-），男，江西上饒人，碩士，講師，研究方向為計算機網(wǎng)絡技術、算法

2017-06-20

2017-09-10