在VLAN中可能遇到的九种攻击方式

　　DHCP攻击

　　DHCP(动态主机设置协议)可以是服务器自动分配IP地址、子网掩码、默认网关等信息给主机。在VLAN中有两种类型的DHCP攻击，一种是DHCP耗竭攻击(DHCP starvation Attack)，另一种是DHCP欺骗攻击(DHCP rogue attack)。

　　DHCP耗竭攻击：攻击者使用伪造的MAC地址发送大量的DHCP请求。这会导致DHCP服务器发生拒绝服务的情况，这样，正常的用户就无法使用网络了。通过限制MAC地址的数量可以避免这个情况的发生。

　　DHCP欺骗攻击：攻击者可以伪装成一个DHCP服务器，然后向正常用户提供错误的网关、错误的DNS和错误的IP，那么用户就会遇到许多问题，比如连接问题和与其它主机通信的问题。通过使用有选择性丢包功能的多层交换机，可以防范此攻击。

　　可以实现这类攻击的工具是Yersinia。它是一种网络工具，可以发现许多协议的漏洞，同时它也可以用来进行生成树协议攻击。

　　生成树协议攻击

　　攻击者使用零优先级发送一条STP(Spanning-Tree Protocol，生成树协议)消息，创建一个新的根桥接，从而破坏整个网络，这就是著名的生成树协议攻击。在用户界面上禁用生成树功能可以避免这个攻击，也可以在思科设备上进行Root Guard配置或在用户端口上设置DPDU Guard功能，禁止使用零优先级值，这样攻击者也就不能获得根桥接了。

　　在操作系统中使用Root Guard

　　vega> (enable) set spantree guard root 1/1 Rootguard on port 1/1 is enabled.

　　Warning!! Enabling rootguard may result in a topology change. vega> (enable)

　　在操作系统中使用DPDU guard

　　Console> (enable) set spantreeportfastbpdu-guard enablevSpantreeportfastbpdu-guard enabled on this switch.(在交换机上激活Spantreeportfastbpdu-guard) Console> (enable)

　　组播暴力攻击

　　组播暴力攻击的实现依赖于交换机在非常短的时间内轮番接收到一连串的组播帧，这将导致这些帧会泄漏到其它VLAN中，而不是保留于原有的VLAN中。这可能也会引发拒绝服务现象。

　　一台高品质的交换机可以保证帧不会从原本的VLAN中泄漏到其它VLAN里，从而防止这类攻击的发生。

　　PVLAN攻击(专用VLAN攻击)

　　PVLAN是第二层的功能，用于第二层的通信隔离。当一台三层设备--例如路由器--连接到某个专用VLAN中，那么该路由器所接收到的所有流量有可能会向任何一处不可知的目的地传输。在某些情况下这种特性会成为攻击者实现个人目的的有效手段。

　　通过配置VLAN的访问列表可以预防上述情况的发生。

　　定义VLAN访问映射# vlan access-mapmap_name [0-65535] 删除VLAN访问映射图序列# no vlan access-mapmap_name 0-65535 删除VLAN访问映射# no vlan access-mapmap_name