在现代交换网络中有很多不同类型的 VLAN 攻击。 VLAN 体系结构能够简化网络维护并提高网络性能,但同时也为滥用打开了方便之门。 了解这些攻击的一般方法以及减少攻击的主要对策至关重要。

VLAN 跳跃攻击会使一个 VLAN 看到来自另一个 VLAN 的流量。 交换机欺骗攻击是 VLAN 跳跃攻击的一种,主要利用错误配置的 TRUNK 端口。 默认情况下,TRUNK 端口可以访问所有 VLAN,并通过同一物理链路传递多个 VLAN 的流量,通常在交换机之间进行。

单击图中的“播放”按钮,观看有关交换机欺骗攻击的动画。

在基本的交换机欺骗攻击中,攻击者利用交换机端口的默认配置为 dynamic auto 这一事实。 网络攻击者配置系统仿冒交换机。 这种欺骗要求网络攻击者能够模拟 802.1Q 和 DTP 消息。 通过欺骗交换机,使它认为另一台交换机正在尝试形成 TRUNK,攻击者可以访问 TRUNK 端口上允许的所有 VLAN。

防止基本交换机欺骗攻击的最好方法是关闭所有端口的中继,明确指定需要中继的端口除外。 在需要中继的端口上,禁用 DTP 并手动启用中继。