知己知彼 用VLAN技术防御黑客攻击
2008-01-22 13:11:13 来源:WEB开发网核心提示: 在交换机内部, VLAN 数字和标识用特殊扩展格式表示,知己知彼 用VLAN技术防御黑客攻击(2),目的是让转发路径保持端到端 VLAN 独立,而且不会损失任何信息,因此,如果用两个不同的标记对分组进行双封装,在交换机外部,标记规则由 ISL 或 802.1Q 等标准规定
在交换机内部, VLAN 数字和标识用特殊扩展格式表示,目的是让转发路径保持端到端 VLAN 独立,而且不会损失任何信息。在交换机外部,标记规则由 ISL 或 802.1Q 等标准规定。
ISL 属于思科专有技术,是设备中使用的扩展分组报头的紧凑形式,每个分组总会获得一个标记,没有标识丢失风险,因而可以提高安全性。
另一方面,制订了 802.1Q 的 IEEE 委员会决定,为实现向下兼容性,最好支持本征 VLAN ,即支持与 802.1Q 链路上任何标记显式不相关的 VLAN 。这种 VLAN 以隐含方式被用于接收802.1Q端口上的所有无标记流量。
这种功能是用户所希望的,因为利用这个功能,802.1Q端口可以通过收发无标记流量直接与老 802.3 端口对话。但是,在所有其他情况下,这种功能可能会非常有害,因为通过 802.1Q 链路传输时,与本地 VLAN 相关的分组将丢失其标记,例如丢失其服务等级( 802.1p 位)。
但是基于这些原因——丢失识别途径和丢失分类信息,就应避免使用本征 VLAN ,更不要说还有其它原因,如图1所示。
图 1 双封装攻击
先剥离,再送回攻击者 802.1q 帧 ,VLAN A、 VLAN B 数据包含本征VLAN A 的干道 VLAN B 数据
注意: 只有干道所处的本征 VLAN 与攻击者相同,才会发生作用。
当双封装 802.1Q 分组恰巧从 VLAN与干道的本征 VLAN 相同的设备进入网络时,这些分组的 VLAN 标识将无法端到端保留,因为 802.1Q 干道总会对分组进行修改,即剥离掉其外部标记。删除外部标记之后,内部标记将成为分组的惟一 VLAN 标识符。因此,如果用两个不同的标记对分组进行双封装,流量就可以在不同 VLAN 之间跳转。
更多精彩
赞助商链接