网络安全之交换机常见的VLAN跳跃攻击和天生树攻击原理

网络安全之交换机常见的VLAN跳跃攻击和天生树攻击原理

IPv6基础知识详解,一分钟了解下

交流机在企业网中占有主要的职位,通常是整个网络的焦点所在,这一职位使它成为黑客入侵和病毒肆虐的重点对象,为保障自身网络平安,企业有需要对局域网上的交流机破绽举行周全领会。今天我们就来说说关于黑客常用的VLAN跳跃攻击和天生树攻击手段。

网络安全之交换机常见的VLAN跳跃攻击和天生树攻击原理插图

VLAN跳跃攻击

虚拟局域网(VLAN)是对广播域举行分段的方式。VLAN还经常用于为网络提供分外的平安,由于一个VLAN上的盘算机无法与没有明确接见权的另一个VLAN上的用户举行对话。不外VLAN自己不足以保护环境的平安,恶意黑客通过VLAN跳跃攻击,纵然未经授权,也可以从一个VLAN跳到另一个VLAN.

VLAN跳跃攻击(VLAN hopping)依赖的是动态中继协议(DTP)。若是有两个相互连接的交流机,DTP就能够对两者举行协商,确定它们要不要成为802.1Q中继,洽谈历程是通过检查端口的设置状态来完成的。

VLAN跳跃攻击充分行使了DTP,在VLAN跳跃攻击中,黑客可以诱骗盘算机,冒充成另一个交流机发送虚伪的DTP协商新闻,宣布他想成为中继;真实的交流机收到这个DTP新闻后,以为它应当启用802.1Q中继功效,而一旦中继功效被启用,通过所有VLAN的信息流就会发送到黑客的盘算机上。

中继建立起来后,黑客可以继续探测信息流,也可以通过给帧添加802.1Q信息,指定想把攻击流量发送给哪个VLAN.

企业需要什么设备才能组建局域网?

网络安全之交换机常见的VLAN跳跃攻击和天生树攻击原理插图(1)

天生树攻击

天生树协议(STP)可以防止冗余的交流环境泛起回路。要是网络有回路,就会变得拥塞不堪,从而泛起广播风暴,引起mac表不一致,最终使网络溃逃。

使用STP的所有交流机都通过网桥协议数据单元(BPDU)来共享信息,BPDU每两秒就发送一次。交流机发送BPDU时,内里含有名为网桥ID的标号,这个网桥ID连系了可设置的优先数(默认值是32768)和交流机的基本MAC地址。交流机可以发送并吸收这些BPDU,以确定哪个交流机拥有最低的网桥ID,拥有最低网桥ID的谁人交流机成为根网桥(root bridge)。

根网桥好比是小镇上的社区杂货店,每个小镇都需要一家杂货店,而每个市民也需要确定到达杂货店的最佳门路。比最佳门路来得长的门路不会被使用,除非主通道泛起壅闭。

根网桥的工作方式很相似。其他每个交流机确定返回根网桥的最佳门路,凭据成原本举行这种确定,而这种成本基于为带宽所分配的值。若是其他任何门路发现脱节壅闭模式不会形成回路(譬如要是主门路泛起问题),它们将被设成壅闭模式。

恶意黑客行使STP的工作方式来发动拒绝服务(DoS)攻击。若是恶意黑客把一台盘算机连接到不止一个交流机,然后发送网桥ID很低的精心设计的BPDU,就可以诱骗交流机,使它以为这是根网桥,这会导致STP重新收敛(reconverge),从而引起回路,导致网络溃逃。

IP地址切换工具NetSetMan使用方法

分享到 :
相关推荐

发表评论

登录... 后才能评论