下面我們給大家講解一下交換機(jī)漏洞的五種攻擊手段。

　　VLAN跳躍攻擊　 　虛擬局域網(wǎng)(VLAN)是對廣播域進(jìn)行分段的方法。VLAN還經(jīng)常用于為網(wǎng)絡(luò)提供額外的安全，因?yàn)橐粋€VLAN上的計(jì)算機(jī)無法與沒有明確訪問權(quán)的另一個 VLAN上的用戶進(jìn)行對話。不過VLAN本身不足以保護(hù)環(huán)境的安全，惡意黑客通過VLAN跳躍攻擊，即使未經(jīng)授權(quán)，也可以從一個VLAN跳到另一個 VLAN。

　　(VLANhopping)依靠的是動態(tài)中繼協(xié)議(DTP)。如果有兩個相互連接的交換機(jī)，DTP就能夠?qū)烧哌M(jìn)行協(xié)商，確定它們要不要成為802.1Q中繼，洽商過程是通過檢查端口的配置狀態(tài)來完成的。

　 　充分利用了DTP，在VLAN跳躍攻擊中，黑客可以欺騙計(jì)算機(jī)，冒充成另一個交換機(jī)發(fā)送虛假的DTP協(xié)商消息，宣布他想成為中繼;真實(shí)的交換機(jī)收到這個 DTP消息后，以為它應(yīng)當(dāng)啟用802.1Q中繼功能，而一旦中繼功能被啟用，通過所有VLAN的信息流就會發(fā)送到黑客的計(jì)算機(jī)上。

　　中繼建立起來后，黑客可以繼續(xù)探測信息流，也可以通過給幀添加802.1Q信息，指定想把攻擊流量發(fā)送給哪個VLAN。

　　生成樹攻擊　　生成樹協(xié)議(STP)可以防止冗余的交換環(huán)境出現(xiàn)回路。要是網(wǎng)絡(luò)有回路，就會變得擁塞不堪，從而出現(xiàn)廣播風(fēng)暴，引起MAC表不一致，最終使網(wǎng)絡(luò)崩潰。

　 　使用STP的所有交換機(jī)都通過網(wǎng)橋協(xié)議數(shù)據(jù)單元(BPDU)來共享信息，BPDU每兩秒就發(fā)送一次。交換機(jī)發(fā)送BPDU時，里面含有名為網(wǎng)橋ID的標(biāo) 號，這個網(wǎng)橋ID結(jié)合了可配置的優(yōu)先數(shù)(默認(rèn)值是32768)和交換機(jī)的基本MAC地址。交換機(jī)可以發(fā)送并接收這些BPDU，以確定哪個交換機(jī)擁有最低的 網(wǎng)橋ID，擁有最低網(wǎng)橋ID的那個交換機(jī)成為根網(wǎng)橋(rootbridge)。

　　根網(wǎng)橋好比是小鎮(zhèn)上的社區(qū)雜貨店，每個小鎮(zhèn)都需要一家雜貨店，而每個市民也需要確定到達(dá)雜貨店的最佳路線。比最佳路線來得長的路線不會被使用，除非主通道出現(xiàn)阻塞。

　　根網(wǎng)橋的工作方式很相似。其他每個交換機(jī)確定返回根網(wǎng)橋的最佳路線，根據(jù)成本來進(jìn)行這種確定，而這種成本基于為帶寬所分配的值。如果其他任何路線發(fā)現(xiàn)擺脫阻塞模式不會形成回路(譬如要是主路線出現(xiàn)問題)，它們將被設(shè)成阻塞模式。

　 　惡意黑客利用STP的工作方式來發(fā)動拒絕服務(wù)(DoS)攻擊。如果惡意黑客把一臺計(jì)算機(jī)連接到不止一個交換機(jī)，然后發(fā)送網(wǎng)橋ID很低的精心設(shè)計(jì)的 BPDU，就可以欺騙交換機(jī)，使它以為這是根網(wǎng)橋,這會導(dǎo)致STP重新收斂(reconverge)，從而引起回路，導(dǎo)致網(wǎng)絡(luò)崩潰。

　　MAC表洪水攻擊　　交換機(jī)的工作方式是:幀在進(jìn)入交換機(jī)時記錄下MAC源地址，這個MAC地址與幀進(jìn)入的那個端口相關(guān)，因此以后通往該MAC地址的信息流將只通過該端口發(fā)送出去。這可以提高帶寬利用率，因?yàn)樾畔⒘饔貌恢鴱乃卸丝诎l(fā)送出去，而只從需要接收的那些端口發(fā)送出去。
(責(zé)任編輯：武林網(wǎng))