知己知彼 用VLAN技术防御黑客攻击

核心提示： 这种情况将被视为误配置，因为 802.1Q 标准并不逼迫用户在这些情况下使用本征 VLAN ，知己知彼 用VLAN技术防御黑客攻击(3)，事实上，应一贯使用的适当配置是从所有 802.1Q 干道清除本地 VLAN (将其设置为 802.1q-all-tagged 模式能够达到完全相同的效果

这种情况将被视为误配置，因为 802.1Q 标准并不逼迫用户在这些情况下使用本征 VLAN 。事实上，应一贯使用的适当配置是从所有 802.1Q 干道清除本地 VLAN (将其设置为 802.1q-all-tagged 模式能够达到完全相同的效果)。在无法清除本地 VLAN 时， 应选择未使用的 VLAN 作为所有干道的本地 VLAN ，而且不能将该 VLAN 用于任何其它目的 。 STP、DTP(DYNAMIC TRUNK PROTCOL)和UDLD等协议应为本地 VLAN 的唯一合法用户，而且其流量应该与所有数据分组完全隔离开。

3.VLAN跳跃攻击

虚拟局域网(VLAN)是对广播域进行分段的方法。VLAN还经常用于为网络提供额外的安全，因为一个VLAN上的计算机无法与没有明确访问权的另一个VLAN上的用户进行对话。不过VLAN本身不足以保护环境的安全，恶意黑客通过VLAN跳跃攻击，即使未经授权，也可以从一个VLAN跳到另一个VLAN。

VLAN跳跃攻击(VLAN hopping)依靠的是动态中继协议(DTP(DYNAMIC TRUNK PROTCOL))。如果有两个相互连接的交换机，DTP(DYNAMIC TRUNK PROTCOL)就能够对两者进行协商，确定它们要不要成为802.1Q中继，洽商过程是通过检查端口的配置状态来完成的。

VLAN跳跃攻击充分利用了DTP(DYNAMIC TRUNK PROTCOL)，在VLAN跳跃攻击中，黑客可以欺骗计算机，冒充成另一个交换机发送虚假的DTP(DYNAMIC TRUNK PROTCOL)协商消息，宣布它想成为中继; 真实的交换机收到这个DTP(DYNAMIC TRUNK PROTCOL)消息后，以为它应当启用802.1Q中继功能，而一旦中继功能被启用，通过所有VLAN的信息流就会发送到黑客的计算机上。

中继建立起来后，黑客可以继续探测信息流，也可以通过给帧添加802.1Q信息，指定想把攻击流量发送给哪个VLAN。

4.VTP攻击

VLAN中继协议(VTP,VLAN Trunk Protocol)是一种管理协议，它可以减少交换环境中的配置数量。就VTP而言，交换机可以是VTP服务器、VTP客户端或者VTP透明交换机，这里着重讨论VTP服务器和VTP客户端。用户每次对工作于VTP服务器模式下的交换机进行配置改动时，无论是添加、修改还是移除VLAN，VTP配置版本号都会增加1，VTP客户端看到配置版本号大于目前的版本号后，就自动与VTP服务器进行同步。