VLAN跳躍***
虛擬局域網(VLAN)是對廣播域進行分段的方法。VLAN還經常用於爲網絡提供額外的安全,因爲一個VLAN上的計算機無法與沒有明確訪問權的另一個VLAN上的用戶進行對話。不過VLAN本身不足以保護環境的安全,惡意***通過VLAN跳躍***,即使未經授權,也可以從一個VLAN跳到另一個VLAN.
VLAN跳躍***(VLAN hopping)依靠的是動態中繼協議(DTP)。如果有兩個相互連接的交換機,DTP就能夠對兩者進行協商,確定它們要不要成爲802.1Q中繼,洽商過程是通過檢查端口的配置狀態來完成的。
VLAN跳躍***充分利用了DTP,在VLAN跳躍***中,***可以欺騙計算機,冒充成另一個交換機發送虛假的DTP協商消息,宣佈他想成爲中繼; 真實的交換機收到這個DTP消息後,以爲它應當啓用802.1Q中繼功能,而一旦中繼功能被啓用,通過所有VLAN的信息流就會發送到***的計算機上。
中繼建立起來後,***可以繼續探測信息流,也可以通過給幀添加802.1Q信息,指定想把***流量發送給哪個VLAN.
生成樹***
生成樹協議(STP)可以防止冗餘的交換環境出現迴路。要是網絡有迴路,就會變得擁塞不堪,從而出現廣播風暴,引起MAC表不一致,最終使網絡崩潰。
使用STP的所有交換機都通過網橋協議數據單元(BPDU)來共享信息,BPDU每兩秒就發送一次。交換機發送BPDU時,裏面含有名爲網橋 ID的標號,這個網橋ID結合了可配置的優先數(默認值是32768)和交換機的基本MAC地址。交換機可以發送並接收這些BPDU,以確定哪個交換機擁有最低的網橋ID,擁有最低網橋ID的那個交換機成爲根網橋(root bridge)。
根網橋好比是小鎮上的社區雜貨店,每個小鎮都需要一家雜貨店,而每個市民也需要確定到達雜貨店的最佳路線。比最佳路線來得長的路線不會被使用,除非主通道出現阻塞。
根網橋的工作方式很相似。其他每個交換機確定返回根網橋的最佳路線,根據成本來進行這種確定,而這種成本基於爲帶寬所分配的值。如果其他任何路線發現擺脫阻塞模式不會形成迴路(譬如要是主路線出現問題),它們將被設成阻塞模式。
惡意***利用STP的工作方式來發動拒絕服務(DoS)***。如果惡意***把一臺計算機連接到不止一個交換機,然後發送網橋ID很低的精心設計的BPDU,就可以欺騙交換機,使它以爲這是根網橋,這會導致STP重新收斂(reconverge),從而引起迴路,導致網絡崩潰。
MAC 表洪水***
交換機的工作方式是: 幀在進入交換機時記錄下MAC源地址,這個MAC地址與幀進入的那個端口相關,因此以後通往該MAC地址的信息流將只通過該端口發送出去。這可以提高帶寬利用率,因爲信息流用不着從所有端口發送出去,而只從需要接收的那些端口發送出去。
MAC地址存儲在內容可尋址存儲器(CAM)裏面,CAM是一個128K大小的保留內存,專門用來存儲MAC地址,以便快速查詢。如果惡意***向CAM發送大批數據包,就會導致交換機開始向各個地方發送大批信息流,從而埋下了隱患,甚至會導致交換機在拒絕服務***中崩潰。
ARP***
ARP(Address Resolution Protocol)欺騙是一種用於會話劫持***中的常見手法。地址解析協議(ARP)利用第2層物理MAC地址來映射第3層邏輯IP地址,如果設備知道了 IP地址,但不知道被請求主機的MAC地址,它就會發送ARP請求。ARP請求通常以廣播形式發送,以便所有主機都能收到。
惡意***可以發送被欺騙的ARP回覆,獲取發往另一個主機的信息流。圖2顯示了一個ARP欺騙過程,其中ARP請求以廣播幀的形式發送,以獲取合法用戶的MAC地址。假設***Jimmy也在網絡上,他試圖獲取發送到這個合法用戶的信息流,***Jimmy欺騙ARP響應,聲稱自己是IP地址爲 10.0.0.55(MAC地址爲05-1C-32-00-A1-99)的主人,合法用戶也會用相同的MAC地址進行響應。結果就是,交換機在MAC地表中有了與該MAC表地址相關的兩個端口,發往這個MAC地址的所有幀被同時發送到了合法用戶和***。
VTP***
VLAN中繼協議(VTP,VLAN Trunk Protocol)是一種管理協議,它可以減少交換環境中的配置數量。就VTP而言,交換機可以是VTP服務器、VTP客戶端或者VTP透明交換機,這裏着重討論VTP服務器和VTP客戶端。用戶每次對工作於VTP服務器模式下的交換機進行配置改動時,無論是添加、修改還是移除VLAN,VTP配置版本號都會增加1,VTP客戶端看到配置版本號大於目前的版本號後,就知道與VTP服務器進行同步。
惡意***可以讓VTP爲己所用,移除網絡上的所有VLAN(除了默認的VLAN外),這樣他就可以進入其他每個用戶所在的同一個VLAN上。不過,用戶可能仍在不同的網絡上,所以惡意***就需要改動他的IP地址,才能進入他想要***的主機所在的同一個網絡上。
惡意***只要連接到交換機,並在自己的計算機和交換機之間建立一條中繼,就可以充分利用VTP.***可以發送VTP消息到配置版本號高於當前的VTP服務器,這會導致所有交換機都與惡意***的計算機進行同步,從而把所有非默認的VLAN從VLAN數據庫中移除出去。