VLAN-Hopping
Was ist VLAN-Hopping?
VLAN-HoppingSwitch-Angriff, der einem Host das Senden oder Empfangen von Frames in einem VLAN ermöglicht, dem er nicht angehören sollte, durch Missbrauch der Trunk-Verhandlung oder 802.1Q-Double-Tagging.
VLAN-Hopping missbraucht die Layer-2-Segmentierung der 802.1Q-Tags. Zwei Varianten existieren: Switch-Spoofing, bei dem der Angreifer per DTP einen Trunk aushandelt und Zugang zu allen erlaubten VLANs erhält; und Double-Tagging, bei dem ein Frame mit zwei 802.1Q-Headern gesendet wird – äußeres Tag entspricht dem Native-VLAN des Trunks, inneres dem Opfer-VLAN – sodass der erste Switch das äußere Tag entfernt und den Frame über den Trunk ins innere VLAN weiterleitet. Der Traffic ist meist einseitig, ermöglicht aber Aufklärung oder DoS. Abwehr: DTP deaktivieren (switchport mode access, switchport nonegotiate), dediziertes ungenutztes Native-VLAN, Native-VLAN explizit taggen, Trunks auf Nutzer-Ports vermeiden.
● Beispiele
- 01
Yersinia-DTP-Angriff handelt einen Trunk auf einem Access-Port aus und erreicht das Management-VLAN.
- 02
Double-getaggtes ICMP-Paket, das einen Server in einem anderen VLAN über das Native-VLAN erreicht.
● Häufige Fragen
Was ist VLAN-Hopping?
Switch-Angriff, der einem Host das Senden oder Empfangen von Frames in einem VLAN ermöglicht, dem er nicht angehören sollte, durch Missbrauch der Trunk-Verhandlung oder 802.1Q-Double-Tagging. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet VLAN-Hopping?
Switch-Angriff, der einem Host das Senden oder Empfangen von Frames in einem VLAN ermöglicht, dem er nicht angehören sollte, durch Missbrauch der Trunk-Verhandlung oder 802.1Q-Double-Tagging.
Wie funktioniert VLAN-Hopping?
VLAN-Hopping missbraucht die Layer-2-Segmentierung der 802.1Q-Tags. Zwei Varianten existieren: Switch-Spoofing, bei dem der Angreifer per DTP einen Trunk aushandelt und Zugang zu allen erlaubten VLANs erhält; und Double-Tagging, bei dem ein Frame mit zwei 802.1Q-Headern gesendet wird – äußeres Tag entspricht dem Native-VLAN des Trunks, inneres dem Opfer-VLAN – sodass der erste Switch das äußere Tag entfernt und den Frame über den Trunk ins innere VLAN weiterleitet. Der Traffic ist meist einseitig, ermöglicht aber Aufklärung oder DoS. Abwehr: DTP deaktivieren (switchport mode access, switchport nonegotiate), dediziertes ungenutztes Native-VLAN, Native-VLAN explizit taggen, Trunks auf Nutzer-Ports vermeiden.
Wie schützt man sich gegen VLAN-Hopping?
Schutzmaßnahmen gegen VLAN-Hopping kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für VLAN-Hopping?
Übliche alternative Bezeichnungen: Switch-Spoofing, 802.1Q-Double-Tagging, Q-in-Q-Hopping.
● Verwandte Begriffe
- attacks№ 363
DTP-Angriff
Angriff, der Ciscos Dynamic Trunking Protocol auf einem Access-Port missbraucht, um mit dem Switch einen Trunk auszuhandeln und Zugriff auf mehrere VLANs zu erhalten.
- attacks№ 1072
Spanning-Tree-Protokoll-Angriff
Layer-2-Angriff, der gefälschte BPDU-Frames einspeist, um die Spanning-Tree-Topologie zu manipulieren, oft mit Wahl des Angreifer-Hosts zur Root-Bridge für MITM oder DoS.
- attacks№ 062
ARP-Spoofing
Angriff im lokalen Netz, der gefälschte ARP-Nachrichten verschickt, um die MAC-Adresse des Angreifers an die IP eines anderen Hosts zu binden und Datenverkehr umzuleiten.
- attacks№ 312
DHCP-Spoofing
Angriff, bei dem ein Angreifer DHCP-Anfragen mit gefälschten Angeboten beantwortet, um ein bösartiges Gateway, DNS oder andere Optionen an Opferclients zu verteilen.
- attacks№ 944
Rogue-DHCP-Server
Unautorisierter DHCP-Server im Netzwerk, der Clients IP-Konfigurationen verteilt und Traffic absichtlich oder versehentlich auf vom Angreifer kontrollierte Infrastruktur lenkt.
● Siehe auch
- № 313DHCP-Starvation
- № 492HSRP-/VRRP-Angriff