Tấn công VLAN hopping cho phép lưu lượng từ một VLAN truy cập tới những vlan khác mà không cần định tuyến. Một attacker có thể sử dụng vlan hopping attack để nghe trộm traffic trên các vlan khác. Có 2 kiểu tấn công VLAN hopping là: Switch spoofing và double tagging.
1. Switch Spoofing
Mặc định switch cicso mang tất cả những traffic của tất cả các vlan. Vì vậy nếu một haker có thể thâm nhập vào một switch đi vào trunking mode, attacker có thể nhìn thấy tất cả các traffic trên tất cả các vlan. Trong một vài trường hợp kiểu tấn công này có thể sử dụng để tìm kiếm username và password credential, để hacker sử dụng cho lần tấn công sau.
Một vài dòng switch cicso mặc định để auto mode trunking. Cái này có ý nghĩa rằng những port tự động trở thành trunking port nếu nó nhận DTP frame (Dynamic trunking protocol). Một haker có thể thực hiện biến cổng switch của anh ấy thành cổng trunking mode. Bằng cách cài phần mềm trên máy tính lừa gạt DTP frame hoặc kết nối 1 switch giả tới cổng của anh ấy.
Để chống lại switch spoofing, bạn có thể tắt trunking trên tất cả những port không yêu cầu thực hiện mode trunks và tắt DTP trên những cổng ko cần trở thành trunk port.
Disable Trunking
Switch (config)# interface gigaethernet 0/3
Switch (config -if)# switchport mode access
Preventing using DTP (ngăn ngừa sử dụng DTP)
Switch (config-if)# switchport trunk encapsulationg dot1q
Switch (config-if)#swtichport mode trunk
Switch (config-if)#swtichport nonegotiate
2. Double Tagging
Trên đường Trunk chuẩn IEEE 802.1Q, một VLAN được thiết kế là native VLAN. Native vlan không thêm bất kỳ tagging nào tới frame trong quá trình truyền frame từ một switch này đến những switch khác. Nếu máy tính của hacker thuộc cùng native vlan, hacker có thể dùng đặc thù của native vlan làm đòn bẩy để gửi traffic, cái mà có hai tag chuẩn 802.1q.
Đặc trưng riêng, traffic router tag cho native vlan và traffic inner tag cho vlan đích, cái mà attacker muốn gửi traffic.
Mô hình: Attacker (VLAN 1) => sw1; sw1=> sw2; sw2 => victim (VLAN 100).
Attacker gửi dữ liệu từ máy mình vlan1 đến máy victim vlan 100. Do attacker kết nối đến sw1 thuộc native vlan, nên khi dữ liệu qua sw1 sẽ ko bị gắn tag, ở đây router tag sẽ bị gỡ bỏ trên frame của sw1.Khi frame của sw1 được gửi đến sw2, sw2 sẽ đóng inner tag cho frame. Inner tag ở đây là vlan 100 , vlan của máy victim.
Sw2 gửi traffic out tới vlan đích (vlan 100). Để ngăn ngừa một tấn công VLAN hopping sử dụng double tagging, không sử dụng native vlan để gửi traffic người dùng. Bạn có thực hiện điều này bằng cách tạo 1 native vlan trên tổ chức của bạn không có bất kỳ port nào. Vlan này không sử dụng là duy nhất cho mục đích gán native vlan.
SW(config-if)# switchport trunk native vlan 400
Đào Lê Hoàng - VnPro
