VLAN 跳跃
VLAN 跳跃 是什么?
VLAN 跳跃针对交换机的攻击,通过滥用 trunk 协商或 802.1Q 双标签,使主机能够发送或接收原本不属于其所在 VLAN 的帧。
VLAN 跳跃滥用 802.1Q 标签提供的二层隔离。主要有两种变体:交换机欺骗(switch spoofing),攻击者通过 DTP 协商将端口变为 trunk,从而访问所有允许的 VLAN;以及双标签(double tagging),攻击者发送带两个 802.1Q 头部的帧——外层为 trunk 的本地 VLAN,内层为受害 VLAN,第一台交换机剥离外层标签后将帧转发到内层 VLAN。通常仅能单向通信,但可用于侦察或 DoS。防御措施:关闭 DTP(switchport mode access、switchport nonegotiate)、使用专用且未占用的 native VLAN、对 native VLAN 显式打标签,并避免用户端口处于 trunk 模式。
● 示例
- 01
用 Yersinia 在接入端口协商 DTP trunk,从而进入管理 VLAN。
- 02
发送双标签 ICMP 报文,经由 native VLAN 跨越到另一 VLAN 中的服务器。
● 常见问题
VLAN 跳跃 是什么?
针对交换机的攻击,通过滥用 trunk 协商或 802.1Q 双标签,使主机能够发送或接收原本不属于其所在 VLAN 的帧。 它属于网络安全的 攻击与威胁 分类。
VLAN 跳跃 是什么意思?
针对交换机的攻击,通过滥用 trunk 协商或 802.1Q 双标签,使主机能够发送或接收原本不属于其所在 VLAN 的帧。
VLAN 跳跃 是如何工作的?
VLAN 跳跃滥用 802.1Q 标签提供的二层隔离。主要有两种变体:交换机欺骗(switch spoofing),攻击者通过 DTP 协商将端口变为 trunk,从而访问所有允许的 VLAN;以及双标签(double tagging),攻击者发送带两个 802.1Q 头部的帧——外层为 trunk 的本地 VLAN,内层为受害 VLAN,第一台交换机剥离外层标签后将帧转发到内层 VLAN。通常仅能单向通信,但可用于侦察或 DoS。防御措施:关闭 DTP(switchport mode access、switchport nonegotiate)、使用专用且未占用的 native VLAN、对 native VLAN 显式打标签,并避免用户端口处于 trunk 模式。
如何防御 VLAN 跳跃?
针对 VLAN 跳跃 的防御通常结合技术控制与运营实践,详见上方完整定义。
VLAN 跳跃 还有哪些其他名称?
常见的别称包括: 交换机欺骗, 802.1Q 双标签, Q-in-Q 跳跃。
● 相关术语
- attacks№ 363
DTP 攻击
在接入端口滥用 Cisco 动态中继协议(DTP),与交换机协商形成 trunk 以访问多个 VLAN 的攻击。
- attacks№ 1072
生成树协议攻击
二层攻击,通过伪造 BPDU 帧操控生成树拓扑,常将攻击者主机选举为根桥以实施 MITM 或 DoS。
- attacks№ 062
ARP 欺骗
在本地网络中发送伪造 ARP 消息,将攻击者的 MAC 地址与他人 IP 绑定,从而将流量导向攻击者的攻击。
- attacks№ 312
DHCP 欺骗
攻击者通过伪造的应答回应 DHCP 请求,向受害客户端下发恶意网关、DNS 或其他选项的攻击。
- attacks№ 944
非法 DHCP 服务器
连接到网络的未授权 DHCP 服务器,向客户端下发 IP 配置,有意或无意地将流量重定向到攻击者控制的基础设施。
● 参见
- № 313DHCP 饥饿攻击
- № 492HSRP / VRRP 攻击