3,835
社区成员
发帖
与我相关
我的任务
分享VLAN双标签跳跃攻击技术原理
VLAN安全性问题中有种双标签越级攻击的问题,从交换机属于本征VLAN的access口流入交换机的帧,如果包含802.1Q双标签,其中外部标签上VLAN 1(本征VLAN),内部标签为VLAN 2,那么数据通过trunk时候,会被剥离外部的本征VLAN标签,使内部标签生效,从而使帧在不同VLAN间跳转。具体可以自行搜索或见《路由器安全策略》.人民邮电出版社.2008.9:70页。
关于双标签攻击,我有几个疑问:
1.一个802.1Q帧从access口进入交换机不会被交换机直接丢弃?
2.一般情况下,一个普通以太网帧进入交换机会被标记上它进来的那个口的VLAN标记,比如从本征VLAN口进来,被标上VLAN 1标记,这个帧只能流向同VLAN的access或trunk口,在流出trunk口时,由于是本征VLAN,会去掉VLAN 1标记以普通以太网帧形式发送。那么一个双标签的帧进来又被加上一个标记出去又去掉那个标记,流出trunk的时候岂不是还是双标签,怎么会多剥离一层标记呢?
3.怎样才能从一个计算机发送包含802.1Q帧呢?而且还可以随意的更改标签,有没有一种现成的工具?或有其他的实现方法?
如果不能解决这个问题,能提供给我一个菊花论坛的邀请码或者网络分析专家论坛的邀请码也不胜感激
关于双标签攻击,我有几个疑问:
1.一个802.1Q帧从access口进入交换机不会被交换机直接丢弃?
2.一般情况下,一个普通以太网帧进入交换机会被标记上它进来的那个口的VLAN标记,比如从本征VLAN口进来,被标上VLAN 1标记,这个帧只能流向同VLAN的access或trunk口,在流出trunk口时,由于是本征VLAN,会去掉VLAN 1标记以普通以太网帧形式发送。那么一个双标签的帧进来又被加上一个标记出去又去掉那个标记,流出trunk的时候岂不是还是双标签,怎么会多剥离一层标记呢?
3.怎样才能从一个计算机发送包含802.1Q帧呢?而且还可以随意的更改标签,有没有一种现成的工具?或有其他的实现方法?
如果不能解决这个问题,能提供给我一个菊花论坛的邀请码或者网络分析专家论坛的邀请码也不胜感激
...全文
请发表友善的回复…
发表回复
tkywl071a01 2012-03-30
- 打赏
- 举报
谢谢楼上科普,我的理解是这样的,如果我们的未使用端口都配置在别的vlan中是不是就可以防止这种双标签vlan跳转了?
sharpbladepan 2011-06-27
- 打赏
- 举报
1. 如果报文的VLAN ID和access端口的默认VLAN ID相同,一般来说,报文不会被丢弃,但有的芯片可以设置丢弃access收到的tag报文;如果报文的VLAN ID和access端口的默认VLAN ID不相同,会被丢弃。
2. 报文进入到交换机的一个端口,会被划分到一个VLAN中并在这个VLAN中转发,但并不等于报文中会被新添加上一个VLAN tag;因此按照你说的情况,报文进入交换机后,被划分到VLAN 1,在从trunk口(trunk端口的默认VLAN ID为1)转发出去的时候,外层的VLAN 1 tag会被剥离,这时候出去的报文仅仅携带原始报文的内层VLAN tag
3. 一般来说计算机发送带VLAN tag的报文需要用专门的软件,例如sniffer,现在有些网卡也支持,在网卡的属性中有 “Priority & VLAN”或者是类似的设置项,当然默认情况下,这类选项都是disable的。
2. 报文进入到交换机的一个端口,会被划分到一个VLAN中并在这个VLAN中转发,但并不等于报文中会被新添加上一个VLAN tag;因此按照你说的情况,报文进入交换机后,被划分到VLAN 1,在从trunk口(trunk端口的默认VLAN ID为1)转发出去的时候,外层的VLAN 1 tag会被剥离,这时候出去的报文仅仅携带原始报文的内层VLAN tag
3. 一般来说计算机发送带VLAN tag的报文需要用专门的软件,例如sniffer,现在有些网卡也支持,在网卡的属性中有 “Priority & VLAN”或者是类似的设置项,当然默认情况下,这类选项都是disable的。
