By default ترافیک را نمی توانیم لایه ۲ ای از یک Vlan به یک Vlan دیگر ببریم و باید با Routing این کار را انجام دهیم ، اگر بتوانیم بدون Routing این کار را کنیم به این کار Vlan Hopping می گویند. Vlan Hopping یک نوع حمله به vlan ها می باشد. دسترسی غیر مجاز یک کاربر به vlan ها را فراهم می سازد. هکر ها برای این کار از ۲ روش استفاده می کنند.
روش های Vlan Hopping :
۱- Switch spoofing
۲- Double tagging
در روش switch spoofing با توجه به اینکه پورت های سوییچ در حالت پیش فرض در حالت Dynamic است و امکان Trunk شدن را دارد و اگر Allowed vlan all باشد که By Default همه روی همین حالت هستند ، نوت بوکمان را عضو vlan ای که مد نظرمان است می کنیم حالا همه بسته ها به آن می رسد.رفتار سوییچ را انجام میدهیم و ترافیک vlan ها را می بینیم.
با استفاده از access list می توانیم جلوی آن را بگیریم یا اگر Trunk اش کرده باشیم می زنیم:
no negotiation#
Double Tagging : همان طور که می دانید در Native Vlan بسته ها بدون Tag هستند. Native Vlan همیشه به صوت پیش فرض vlan آن ۱ است ،در صورتی که Native Vlan بر روی یک پورت تعریف شده باشد وقتی که پکتی از آن پورت وارد سوییچ شود و دارای tag مربوط به Vlan ها نباشد آن را جزو پکتهای مربوط به Vlan 1 در عملیات سوییچینگ به حساب می آورد. Vlan 1 در تمامی سویچ ها بدون معرفی قابل عبور می باشد.
حال هکر می رود در Vlan 1 سپس کنار تگ ۱ یک تگ ۱۰ هم میچسباند در اینجا سوییچ هنگام process تگ ۱۰ را نگاه می کند و می رود در vlan 10 به این کار double tagging می گویند.
برای جلوگیری از آن باید native vlan را از Vlan 1 تغییر داد.
و یا native vlan را با تگ ارسال کنیم.
با دستور زیر می توانید این کار را انجام دهید.
Switch(config-if)# switchport trunk native vlan tag
آموزش نصب ASA بر روی GNS v1.4.0
جاسوسی اطلاعات و استفاده از لیست SPAM ها برای مقابله با آن