VLAN hopping
¿Qué es VLAN hopping?
VLAN hoppingAtaque a switches que permite a un host enviar o recibir tramas en una VLAN a la que no debería pertenecer, abusando de la negociación de trunking o del doble etiquetado 802.1Q.
VLAN hopping abusa de la segmentación de capa 2 basada en etiquetas 802.1Q. Hay dos variantes principales: switch spoofing, donde el atacante negocia un trunk DTP con el switch y obtiene acceso a todas las VLAN permitidas; y double tagging, donde envía una trama con dos cabeceras 802.1Q — la externa con la VLAN nativa del trunk, la interna con la VLAN víctima — de modo que el primer switch retira la externa y reenvía a la VLAN interna. Suele ser tráfico unidireccional pero permite reconocimiento o DoS. Defensas: desactivar DTP (switchport mode access, switchport nonegotiate), usar una VLAN nativa dedicada y sin uso, etiquetar explícitamente la nativa y evitar trunks en puertos de usuario.
● Ejemplos
- 01
Ataque DTP con Yersinia que negocia un trunk en un puerto de acceso y alcanza la VLAN de gestión.
- 02
Enviar un ICMP con doble etiqueta para hacer ping a un servidor en otra VLAN a través de la VLAN nativa.
● Preguntas frecuentes
¿Qué es VLAN hopping?
Ataque a switches que permite a un host enviar o recibir tramas en una VLAN a la que no debería pertenecer, abusando de la negociación de trunking o del doble etiquetado 802.1Q. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa VLAN hopping?
Ataque a switches que permite a un host enviar o recibir tramas en una VLAN a la que no debería pertenecer, abusando de la negociación de trunking o del doble etiquetado 802.1Q.
¿Cómo funciona VLAN hopping?
VLAN hopping abusa de la segmentación de capa 2 basada en etiquetas 802.1Q. Hay dos variantes principales: switch spoofing, donde el atacante negocia un trunk DTP con el switch y obtiene acceso a todas las VLAN permitidas; y double tagging, donde envía una trama con dos cabeceras 802.1Q — la externa con la VLAN nativa del trunk, la interna con la VLAN víctima — de modo que el primer switch retira la externa y reenvía a la VLAN interna. Suele ser tráfico unidireccional pero permite reconocimiento o DoS. Defensas: desactivar DTP (switchport mode access, switchport nonegotiate), usar una VLAN nativa dedicada y sin uso, etiquetar explícitamente la nativa y evitar trunks en puertos de usuario.
¿Cómo defenderse de VLAN hopping?
Las defensas contra VLAN hopping combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para VLAN hopping?
Nombres alternativos comunes: Switch spoofing, Doble etiquetado 802.1Q, Q-in-Q hopping.
● Términos relacionados
- attacks№ 363
Ataque DTP
Ataque que abusa del Dynamic Trunking Protocol de Cisco en un puerto de acceso para negociar un trunk con el switch y obtener acceso a varias VLAN.
- attacks№ 1072
Ataque al protocolo Spanning-Tree
Ataque de capa 2 que inyecta BPDUs falsas para manipular la topología STP, normalmente eligiendo al equipo del atacante como root bridge para habilitar MITM o DoS.
- attacks№ 062
Suplantación ARP
Ataque en la red local que envía mensajes ARP falsificados para asociar la MAC del atacante con la IP de otro host y desviar el tráfico.
- attacks№ 312
Suplantación de DHCP
Ataque en el que un adversario responde a peticiones DHCP con ofertas falsificadas para imponer un gateway, DNS u otras opciones maliciosas a los clientes víctima.
- attacks№ 944
Servidor DHCP no autorizado
Servidor DHCP no autorizado conectado a la red que entrega configuraciones IP a los clientes, redirigiendo intencional o accidentalmente el tráfico a infraestructura del atacante.
● Véase también
- № 313Starvation de DHCP
- № 492Ataque HSRP / VRRP