VLAN ist ein virtuelles lokales Netzwerk, in dem ein physisches Netzwerk in eine Gruppe von Geräten unterteilt ist, um sie mitzumachen. VLAN wird normalerweise verwendet, um eine singuläre Broadcast -Domäne in zahlreiche Broadcast -Domänen in geschalteten Layer -2 -Netzwerken zu unterteilt. Um zwischen zwei VLAN -Netzwerken zu kommunizieren, ist ein Layer 3 -Gerät erforderlich (normalerweise ein Router), so dass alle zwischen den beiden VLANs kommunizierten Paketen durch das 3. OSI -Schichtgerät gelangen müssen.
In dieser Netzwerkart erhält jeder Benutzer einen Zugriffsanschluss, um den Datenverkehr von VLAN voneinander zu trennen.e., Ein an einem Zugriffsanschluss angeschlossener Gerät hat nur Zugriff auf den Datenverkehr dieses bestimmten VLAN, da jeder Switch -Zugriffsanschluss an einen bestimmten VLAN angeschlossen ist. Nachdem wir die Grundlagen dessen kennengelernt haben, was ein VLAN ist.
Wie Vlan -Hopping -Angriff funktioniert
VLAN -Hopfenangriff ist eine Art Netzwerkangriff, bei dem ein Angreifer versucht, Zugriff auf ein VLAN -Netzwerk zu erhalten, indem er Pakete über ein anderes VLAN -Netzwerk an sie sendet, mit dem der Angreifer verbunden ist. Bei dieser Art von Angriff versucht der Angreifer böswillig, Zugang zu dem Datenverkehr zu erhalten, der von anderen VLANs in einem Netzwerk stammt. In den meisten Fällen nutzt der Angreifer nur 2 Ebenen, die verschiedene Hosts segmentieren.
Der Artikel bietet einen kurzen Überblick über den VLAN -Hopfenangriff, seine Typen und die Verhinderung der rechtzeitigen Erkennung.
Arten von Vlan -Hopping -Angriff
Switched Spoofing Vlan Hopping Attack:
In einem geschalteten Spoofing -Vlan -Hopping -Angriff versucht der Angreifer, einen Schalter zu imitieren, um einen legitimen Schalter auszunutzen, indem er ihn dazu verleitet, eine Trunking -Verbindung zwischen dem Gerät des Angreifers und dem Schalter zu machen. Ein Kofferraumverbindung ist eine Verknüpfung von zwei Schalter oder einem Schalter und einem Router. Die Kofferraumverbindung trägt den Datenverkehr zwischen den verknüpften Switches oder den verknüpften Switches und Routern und verwaltet die VLAN -Daten.
Die Datenrahmen, die aus der Trunk -Link geleitet werden, sollen vom VLAN identifiziert werden, zu. Daher trägt ein Kofferraumlink den Verkehr vieler VLANs. Da Pakete von jedem VLAN über eine Trunking -Verbindung führen dürfen.
Dieser Angriff ist nur möglich, wenn ein Angreifer mit einer Switch -Schnittstelle verknüpft ist, deren Konfiguration auf eines der folgenden festgelegt istdynamisch wünschenswert","Dynamisches Auto," oder "Stamm”Modi. Auf diese Weise kann der Angreifer eine Stammverbindung zwischen seinem Gerät und dem Schalter bilden, indem ein DTP (Dynamic Trunking -Protokoll) generiert wird. Sie werden verwendet, um Stammverbindungen zwischen zwei Switches dynamisch zu erstellen) von ihrem Computer.
Doppel -Tagging Vlan Hopping Attack:
Ein doppelt markierter Vlan-Hopping-Angriff kann auch als a bezeichnet werden doppelt eingekapselt Vlan Hoping -Angriff. Diese Arten von Angriffen funktionieren nur, wenn der Angreifer an eine Schnittstelle angeschlossen ist, die mit der Schnittstelle für Kofferraumport/Link verbunden ist.
Double -Tagging -Vlan -Hopping -Angriff tritt auf, wenn der Angreifer den ursprünglichen Rahmen so addiert, um zwei Tags hinzuzufügen, genau wie die meisten Schalter nur das äußere Tag entfernen, sie nur das äußere Tag identifizieren und das innere Tag erhalten bleibt. Das äußere Tag ist mit dem persönlichen VLAN des Angreifers verbunden, während das innere Tag mit dem VLAN des Opfers verbunden ist.
Zunächst erreicht der böswillig gefertigte doppelt markierte Rahmen des Angreifers den Schalter, und der Schalter öffnet den Datenrahmen. Das äußere Tag des Datenrahmens wird dann identifiziert und gehört zum spezifischen VLAN des Angreifer. Danach leitet es den Rahmen an jeden einzelnen der nativen VLAN.
Der nächste Schalter öffnet dann den Rahmen, identifiziert das zweite Tag des Datenrahmens als VLAN des Opfers und leitet ihn dann an die VLAN des Opfers weiter. Schließlich erhält der Angreifer Zugang zum Verkehr vom VLAN des Opfers. Der Doppel-Tagging-Angriff ist nur ein Regisseur, und es ist unmöglich, das Return-Paket einzuschränken.
Minderung von Vlan -Hopping -Angriffen
STWANTED SPOOFING VLAN -Angriffsminderung:
Die Konfiguration von Zugriffsports sollte nicht auf die folgenden Modi eingestellt werden: “dynamisch wünschenswert", "DYnamic Auto", oder "Stamm“.
Stellen Sie die Konfiguration aller Zugriffsanschlüsse manuell ein und deaktivieren schalten Port -Modus -Verhandlung.
Stellen Sie die Konfiguration aller Trunk -Ports manuell ein und deaktivieren Sie das dynamische Trunking -Protokoll auf allen Kofferraumanschlüssen mit Verhandlungen für den Switch -Port -Modus oder die Verhandlung des Switch -Port -Modus.
Geben Sie alle unbenutzten Schnittstellen in einen VLAN und schalten Sie dann alle nicht verwendeten Schnittstellen ab.
Doppel -Tagging VLAN -Angriffsminderung:
Stellen Sie keinen Host in das Netzwerk in das Standard -VLAN ein.
Erstellen Sie einen nicht verwendeten VLAN, um ihn als native VLAN für den Kofferraumanschluss zu setzen und zu verwenden. Ebenso tun Sie es für alle Kofferraumanschlüsse. Der zugewiesene VLAN wird nur für native VLAN verwendet.
Abschluss
Dieser Angriff ermöglicht es böswilligen Angreifern, illegal Zugang zu Netzwerken zu erhalten. Die Angreifer können dann Passwörter, persönliche Informationen oder andere geschützte Daten abschneiden. Ebenso können sie auch Malware und Spyware installieren, trojanische Pferde, Würmer und Viren verteilen oder wichtige Informationen verändern und sogar löschen. Der Angreifer kann leicht den gesamten Verkehr durch das Netzwerk schnüffeln, um ihn für böswillige Zwecke zu verwenden. Es kann den Verkehr auch mit unnötigen Rahmen in gewissem Maße stören.
Abschließend kann man zweifelsohne sagen, dass ein Vlan -Hopping -Angriff eine enorme Sicherheitsbedrohung darstellt. Um diese Art von Angriffen zu mildern, vermittelt dieser Artikel den Leser mit Sicherheit und vorbeugenden Maßnahmen. Ebenso besteht ein ständiger Bedarf an zusätzlichen und fortgeschritteneren Sicherheitsmaßnahmen, die zu VLAN-basierten Netzwerken hinzugefügt werden sollten und die Netzwerksegmente als Sicherheitszonen verbessern sollten.