VLAN hopping tillåter en angripare att skicka ramar till en enhet på en annan VLAN. I den här videon lär du dig hur switch spoofing och double tagging kan användas när vlan hopping.
<< föregående Video: Brute Force attacker nästa: Man-In-The-Middle >>
många organisationer använder VLAN för att separera nätverket i olika delar. Detta kan vara av organisatoriska skäl. Det kan också vara av säkerhetsskäl. Så du kan ha en VLAN för nätverksteknikteamet, en VLAN för frakt och mottagning och en separat VLAN för bokföringsavdelningen.
det betyder att om någon i bokföringsavdelningen har åtkomst till nätverket, har de tillgång till alla andra enheter som finns på bokföringsvlan. Och bästa praxis är att du bara skulle ha tillgång till de enheter som finns på din lokala VLAN. Men det finns några tekniker som kan tillåta någon att hoppa till en annan VLAN. Självklart är detta något som inte borde hända, och vi vill vara säkra på att vi skyddar mot någon som kan komma åt en VLAN som inte är deras egen.
det finns två primära metoder som människor använder för att hoppa mellan VLAN på detta sätt. En kallas switch spoofing, och den andra är dubbel märkning. Många trunkar låter dig ställa in ett automatiskt konfigurationsläge. Detta kallas trunk förhandling. Och det låter dig ansluta en enhet till en omkopplare, och den omkopplaren kommer att avgöra om enheten du kopplade in är en vanlig åtkomstanordning– till exempel en bärbar dator eller en dator– eller om enheten du kopplar in kan vara en annan omkopplare.
den här automatiska konfigurationen har ingen typ av autentisering associerad med den. Så om du ville låtsas att du var en switch, kan du använda specialiserad programvara och ansluta till en switch som hade denna automatiska konfiguration, och istället för att switch tänker på dig som en bärbar dator eller ett skrivbord, skulle det då överväga att du var en annan switch på nätverket. Vid den tiden skulle du förhandla om de trunkar som krävdes över den här länken, precis som om du anslöt två omkopplare till varandra. Och nu kan du skicka information till någon av de VLAN som skulle stödjas över den trunkanslutningen.
denna switch-spoofing skulle effektivt ge alla tillgång till VLAN som stöddes på den fjärrbrytaren. Det är därför en switch administratör normalt skulle inaktivera denna automatiska trunk förhandling. Administratören bör istället manuellt definiera vilka gränssnitt på en switch är för en trunk, och vilka gränssnitt på en switch är för access-enheter.
normalt, när en ram skickas över en stamanslutning, finns det en tagg som läggs till i den ramen. På andra sidan utvärderas och tas den taggen bort, och att data skickas till rätt VLAN på andra sidan. Ett sätt att komma runt denna funktionalitet är att inkludera två Taggar med en viss ram som går över VLAN. Och med dubbel taggning kan vi använda den inbyggda VLAN för en viss switch för att få tillgång till en VLAN som vi normalt inte skulle ha tillgång till.
denna dubbel taggning attack använder två olika växlar. Den första omkopplaren tar bort den första taggen som är associerad med ramen. Och den andra omkopplaren tar bort den andra taggen som är associerad med ramen och vidarebefordrar dessa data till den separata VLAN.
detta innebär också att denna speciella typ av attack bara kan fungera i en riktning. Det finns inget sätt att sätta två taggar på returramen. Så när du skickar information med den här dubbla taggningsattacken skickar du den utan att någonsin få ett svar tillbaka från den andra enheten. Detta begränsar några av de saker som du kanske kan göra med denna attack, men det kan säkert användas för något som en överbelastning.
ett sätt att undvika en dubbel taggningsattack är att inte tillåta någon tillgång till den inhemska VLAN. Du skulle ändra det inhemska VLAN-ID och tvinga någon som går över den inhemska VLAN att använda taggning. Så här fungerar denna dubbla märkning. Vi har en angripares dator och en offerdator. Du märker angriparna på VLAN 10, och offret enheten är på VLAN 20.
normalt skulle dessa två enheter inte kunna kommunicera direkt med varandra. De skulle behöva gå igenom en router åtminstone. Men genom att använda dubbel taggning kan vi hoppa igenom båda dessa omkopplare och få våra data att hamna på en annan VLAN.
här är ramen som vi ska skicka. Det är en Ethernet-ram som har två taggar inuti den. En tagg för VLAN 10, och en tagg för VLAN 20. Den ramen kommer att skickas till den första omkopplaren, och den omkopplaren kommer att utvärdera den första taggen som är associerad i den här ramen. Det kommer att vara taggen för VLAN 10.
det tar bort den taggen, och den ram som är kvar har fortfarande en tagg för VLAN 20. Så det kommer att skicka den över denna trunk till VLAN 20, där denna switch kommer att utföra normal borttagning av taggen och skicka dessa data ner till offrets arbetsstation. Uppenbarligen bör Alla data som kommer från VLAN 10 inte plötsligt visas på VLAN 20. Denna dubbla taggningsattack gör det möjligt för denna attackerande enhet att skicka information direkt till detta offer.