在VLAN中可能遇到的九种攻击方式

　　VMPS/VQP攻击

　　这类攻击通常发生在动态VLAN访问端口。VMPS(VLAN管理策略服务器)使用VQP(VLAN查询)协议。VMPS有一个缺陷，它并不使用基于MAC地址的指定Vlans身份认证，而且UDP让它在被攻击中更加脆弱。

　　通常DoS攻击都发生在未经验证的VLAN中。

　　VLAN跨越攻击

　　VLAN跨越指的是数据包被传送到不正确的端口上。基本上VLAN跨越攻击有如下两个类型。

　　◆交换机欺骗

　　◆双标签

　　交换机欺骗

　　交换机欺骗：攻击者试图通过配置802.1Q或者ISL把自己伪装成一个交换机，通过DTP(动态中继协议)信号可以帮助攻击者完成欺骗。

　　双标签

　　双标签是包括2个802.1Q头的传输帧标签，一个头用于(受害者)用户的交换机，另一个用于攻击者的交换机。防止VLAN跨越攻击的最简单的方法就是在所有来历不明的端口上禁止DTP协议。

　　举例：

　　ciscoswitch# conf tciscoswitc(config)# int gi1/10ciscoswitch(config-if)# switchportnonegotiateFrom the example "switchportnonegotiate" disables the DTP.

　　双封装802.1Q

　　IEEE802.1Q有助于在大型网络之外创建小规模网络。大型网络速度慢而且非常消耗带宽，然而小型网络却更利于管理，占用的带宽也少。所以，相比大而复杂的网络来说，有时候我们更需要一个小型网络，因此在IEEE802的基础上研发了IEEE802.1Q。

　　我们必须在启用了Trunk(端口汇聚)功能下使用IEEE802.1Q，假设主干中启用了IEEE802.1Q，那么就可以执行一个特殊的攻击。这个攻击被称作双封装攻击，它在原始帧中增加了两个标签，在IEEE802.1Q中，对帧的修改基本上要通过消除外部标签完成，然而剩下的原始内部标签就成为了攻击的目标。

　　(TIPs：当双封装 802.1Q 分组从 VLAN 恰巧与干线的本地 VLAN 相同的设备进入网络时，这些分组的 VLAN 标识将无法端到端保留，因为 802.1Q 干线总会对分组进行修改，即剥离掉其外部标记。删除外部标记之后，内部标记将成为分组的惟一 VLAN 标识符。因此，如果用两个不同的标记对分组进行双封装，流量就可以在不同 VLAN 之间跳转。

　　这种情况将被视为误配置，因为 802.1Q 标准并不逼迫用户在这些情况下使用本地 VLAN 。事实上，应一贯使用的适当配置是从所有 802.1Q 干线清除本地 VLAN (将其设置为 802.1q-all-tagged 模式能够达到完全相同的效果)。在无法清除本地 VLAN 时， 应选择未使用的 VLAN 作为所有干线的本地 VLAN ，而且不能将该 VLAN 用于任何其它目的 。 STP 、 DTP 和 UDLD 等协议应为本地 VLAN 的唯一合法用户，而且其流量应该与所有数据分组完全隔离开。)

　　为了防止802.1Q中的双封装，本地VLAN应该不被放配到任何端口。我们必须使主干中的流量都携带着标签，而为了实现这一点，我们可以使用命令"Switch(config)# vlan dot1q tag native"。它是一个标记本地VLAN的全局命令。

　　随机帧重压攻击(Random Frame Stress Attack)

　　随机帧重压攻击的表现形式有很多，但通常只存在于几个领域中。在这种暴力攻击下，会让源地址和目标地址保持不变。当遇到异常的输入和计算时，它们主要是对交换机进行测试。

　　这种攻击是可以预防的，可以让专用VLAN隔离第二层的主机，免受恶意流量的侵害。(Tips：使用时，可以建立互信任主机组，将第二层网络分成多个子域，只让友好设备相互交流。)

　　结论：

　　我希望以上内容能够帮助大家了解VLAN的一些攻击方式，并能够让概念简单化。另外，想要对VLAN进行攻击并不容易的，但是请大家不要忘记更改设备的默认设置。最后为各位管理员总结以下几点：

　　◆以安全的方式管理交换机

　　◆本地VLAN ID 不应用于中继。使用专用LVAN ID作为中继端口。

　　◆所有用户端口设置为非中继

　　◆多做一些交换机端口安全配置，但需要小心。

　　◆避免使用VLAN 1

　　◆为用户端口尽可能设置安全功能

　　◆为了缓解STP攻击启用BPDU保护

　　◆使用专用VLAN并且进一步划分L2网络

　　◆如果使用VTP，请用MD5验证。

　　◆禁用未使用的端口