VLAN安全性问题中有种双标签越级攻击的问题,从交换机属于本征VLAN的access口流入交换机的帧,如果包含802.1Q双标签,其中外部标签上VLAN 1(本征VLAN),内部标签为VLAN 2,那么数据通过trunk时候,会被剥离外部的本征VLAN标签,使内部标签生效,从而使帧在不同VLAN间跳转。具体可以自行搜索或见《路由器安全策略》.人民邮电出版社.2008.9:70页。
关于双标签攻击,我有几个疑问:
1.一个802.1Q帧从access口进入交换机不会被交换机直接丢弃?
2.一般情况下,一个普通以太网帧进入交换机会被标记上它进来的那个口的VLAN标记,比如从本征VLAN口进来,被标上VLAN 1标记,这个帧只能流向同VLAN的access或trunk口,在流出trunk口时,由于是本征VLAN,会去掉VLAN 1标记以普通以太网帧形式发送。那么一个双标签的帧进来又被加上一个标记出去又去掉那个标记,流出trunk的时候岂不是还是双标签,怎么会多剥离一层标记呢?
3.怎样才能从一个计算机发送包含802.1Q帧呢?而且还可以随意的更改标签,有没有一种现成的工具?或有其他的实现方法?
如果不能解决这个问题,能提供给我一个菊花论坛的邀请码或者网络分析专家论坛的邀请码也不胜感激,给分给分!
1.后来我试过了,带tag的帧从access是可以进入交换机的,如果带的tag是VLAN 1,完全可以通。
2.我说的双标签和专用VLAN在公有VLAN中传输没有关系,和QINQ更加没有任何关系。
3.如果你仔细看我提到的《路由器安全策略》这本书或者看新版的CCNP指南 SWITCH的话,你会看到双标签跳跃攻击的内容。
4.《路由器安全策略》是CISCO press出版的一本书,作者是一位美国的资深CCIE。
你没有回答我的任何一个疑问