惡意黑客只要連線到交換機,並在自己的計算機和交換機之間建立一條中繼,就可以充分利用VTP,小編希望本文能教會你更多東西。
IDC報告顯示,交換機市場近年來一直保持著較高的增長勢頭,到2009年市場規模有望達到 15.1億美元。交換機在企業網中佔有重要的地位,通常是整個網路的核心所在,這一地位使它成為黑客入侵和病毒肆虐的重點物件,為保障自身網路安全,企業 有必要對區域網上的交換機漏洞進行全面瞭解。以下是利用交換機漏洞的五種攻擊手段。
虛擬區域網(VLAN)是對廣播域進行分段的方法。VLAN還經常用於為網路提供額外的安全,因為一個VLAN上的計算機無法與沒有明確訪問權的另一個 VLAN上的使用者進行對話。不過VLAN本身不足以保護環境的安全,惡意黑客通過VLAN跳躍攻擊,即使未經授權,也可以從一個VLAN跳到另一個 VLAN。
VLAN跳躍攻擊(VLAN hopping)依靠的是動態中繼協議(DTP)。如果有兩個相互連線的交換機,DTP就能夠對兩者進行協商,確定它們要不要成為802.1Q中繼,洽商過程是通過檢查埠的配置狀態來完成的。
VLAN跳躍攻擊充分利用了DTP,在VLAN跳躍攻擊中,黑客可以欺騙計算機,冒充成另一個交換機發送虛假的DTP協商訊息,宣佈他想成為中繼; 真實的交換機收到這個DTP訊息後,以為它應當啟用802.1Q中繼功能,而一旦中繼功能被啟用,通過所有VLAN的資訊流就會發送到黑客的計算機上。圖 1表明了這個過程。
使用STP的所有交換機都通過網橋協議資料單元(BPDU)來共享資訊,BPDU每兩秒就傳送一次。交換機發送BPDU時,裡面含有名為網橋ID的標 號,這個網橋ID結合了可配置的優先數(預設值是32768)和交換機的基本MAC地址。交換機可以傳送並接收這些BPDU,以確定哪個交換機擁有最低的 網橋ID,擁有最低網橋ID的那個交換機成為根網橋(root bridge)。
根網橋好比是小鎮上的社群雜貨店,每個小鎮都需要一家雜貨店,而每個市民也需要確定到達雜貨店的最佳路線。比最佳路線來得長的路線不會被使用,除非主通道出現阻塞。
根網橋的工作方式很相似。其他每個交換機確定返回根網橋的最佳路線,根據成本來進行這種確定,而這種成本基於為頻寬所分配的值。如果其他任何路線發現擺脫阻塞模式不會形成迴路(譬如要是主路線出現問題),它們將被設成阻塞模式。
惡意黑客利用STP的工作方式來發動拒絕服務(DoS)攻擊。如果惡意黑客把一臺計算機連線到不止一個交換機,然後傳送網橋ID很低的.精心設計的 BPDU,就可以欺騙交換機,使它以為這是根網橋,這會導致STP重新收斂(reconverge),從而引起迴路,導致網路崩潰。
交換機的工作方式是: 幀在進入交換機時記錄下MAC源地址,這個MAC地址與幀進入的那個埠相關,因此以後通往該MAC地址的資訊流將只通過該埠傳送出去。這可以提高頻寬利用率,因為資訊流用不著從所有埠傳送出去,而只從需要接收的那些埠傳送出去。
MAC地址儲存在內容可定址儲存器(CAM)裡面,CAM是一個128K大小的保留記憶體,專門用來儲存MAC地址,以便快速查詢。如果惡意黑客向CAM 傳送大批資料包,就會導致交換機開始向各個地方傳送大批資訊流,從而埋下了隱患,甚至會導致交換機在拒絕服務攻擊中崩潰。
ARP(Address Resolution Protocol)欺騙是一種用於會話劫持攻擊中的常見手法。地址解析協議(ARP)利用第2層物理MAC地址來對映第3層邏輯IP地址,如果裝置知道了 IP地址,但不知道被請求主機的MAC地址,它就會發送ARP請求。ARP請求通常以廣播形式傳送,以便所有主機都能收到。
惡意黑客 可以傳送被欺騙的ARP回覆,獲取發往另一個主機的資訊流。圖2顯示了一個ARP欺騙過程,其中ARP請求以廣播幀的形式傳送,以獲取合法使用者的MAC地 址。假設黑客Jimmy也在網路上。
他試圖獲取傳送到這個合法使用者的資訊流,黑客Jimmy欺騙ARP響應,聲稱自己是IP地址為 (MAC地址為05-1C-32-00-A1-99)的主人,合法使用者也會用相同的MAC地址進行響應。結果就是,交換機在MAC地表中有了與該MAC表 地址相關的兩個埠,發往這個MAC地址的所有幀被同時傳送到了合法使用者和黑客Jimmy。