在VLAN中可能遇到的九种攻击方式

　　VLAN(虚拟局域网)是一群尽管所处物理位置不同，却相互保持通信的主机。VLAN可向用户提供独立的网段，在节省带宽的同时也有利于设备的管理，而且通过VLAN所提供的一些功能还可以帮助企业节省成本。

　　VLAN建立在OSI的第二层数据链路层上，尽管OSI的每一层是独立的，但是他们之间是相互关联的。如果某一层出现问题，也必将会影响到其它层的数据传递，VLAN建立在数据链路层上，同其它层一样易于受到攻击。

　　VLAN所面临的安全问题

　　虽然VLAN适于流量管理但也并非特别安全。下面就列出了一系列VLAN所面临的安全威胁。

　　ARP攻击

　　ARP(地址解析协议)的工作原理实际是将第三层的IP地址转换成第二层的MAC地址的过程。

　　一个恶意用户可以伪造IP地址和MAC地址，然而在ARP协议中却无法核实这些细节，ARP的这种缺陷就造成了安全问题。利用这些伪造的信息，恶意用户就会被误认为是一个合法的用户，他们不仅可以随意使用网络中的资源，甚至可以在VLAN的设备中发送ARP数据包。

　　更有甚者，恶意攻击者可以通过此缺陷制造中间人攻击。当一个网络设备被标示成另一个网络设备，例如默认网关之类，中间人攻击就可能会发生了，在这种情况下我们也是无法核实这些细节信息的。

　　当攻击者发送ARP数据包给目标受害者，这些ARP报文不能被接收器验证，这是因为接收的ARP表其实已经是经过攻击者伪造的信息了。这个时候，攻击者就可以接收到这个返回消息的设备的有关信息了，甚至还可以试图接收到其他网络设备的信息。最后，攻击者会将ARP表和网络设备恢复正常。

　　像Arpspoof，Arpoison，Cain and Abel，和Ettercap，Trapper(这个工具的创作灵感不少都来自于著名的Cain)这些工具都可以执行ARP欺骗。

　　对付ARP攻击的一个有效策略就是动态ARP监测(DAI)。DAI是一种验证网络中所有ARP数据包的安全功能，它可将ARP数据中的IP地址和MAC地址都丢掉。

　　VLAN中的DAI状态(CISCO中的DHCP环境)

　　进入全局配置指令

　　Router# configure terminal

　　通过使用iparp检查Vlan{vlan_id|vlan_range} ，在全局配置中允许在VLAN中使用DAI

　　Router(config)# iparp inspection vlan {vlan_ID |vlan_range}

　　最后，验证配置

　　Router(config-if)# do show iparp inspection vlan {vlan_ID |vlan_range} | begin Vlan

　　MAC泛洪攻击

　　MAC泛洪攻击是VLAN攻击中常见的一种。在MAC泛洪攻击中，交换机内充斥的不同的MAC地址，这些地址信息消耗了交换机中大多数内存空间。在这种情况下，交换机就变成了"hub"开始与大家分享所有端口的数据了。所以，通过这种方法，攻击者就可以用数据嗅探器搜集敏感数据了。

　　举个例子，比如有3三个工作站，分别是WA,WB和WC。当我们试图用WA给WB发送一条数据，因为交换机的缘故WC是看不见这条信息的。现在，把攻击者看作是WC，它开始在交换机内用不同的MAC地址来制造MAC泛洪攻击，交换机的内容被耗光了，然后交换机就像HUB一样开始收发信息了，当WA再次向WB发送数据时，WC能很容易地看到它们之间传送的信息了。

　　在VLAN中，MAC泛洪攻击防范的最佳方法是配置静态安全MAC地址。这个需要进行手动配置，具体操作方法是使用命令"switchport port-security mac-address mac-address interface"。另一种防范MAC泛洪攻击的方法便是限制端口接受MAC地址的数量。