10.5 LAN Attacks
VLAN attacks
VLAN hopping
VLAN hopping — атака, при которой attacker получает доступ к traffic других VLANs без router-based inter-VLAN routing. networkterm
В basic scenario attacker заставляет host выглядеть как switch и пытается поднять trunk.
Для этого exploit’ится auto trunking / DTP behavior.
DTP (Dynamic Trunking Protocol) — Cisco protocol для автоматического согласования trunk links. abbreviation
VLAN double-tagging
double-tagging attack — атака, где frame получает два 802.1Q tags, чтобы проскочить в другой VLAN. networkterm
Главное, что надо помнить:
- attack зависит от native VLAN behavior;
- outer tag совпадает с native VLAN;
- inner tag указывает target VLAN;
- attack по сути unidirectional.
Mitigation:
- disable trunking on access ports;
- disable auto trunking;
- использовать native VLAN только для trunk links;
- руками контролировать trunk config.
DHCP attacks
DHCP starvation
DHCP starvation — DoS-style attack, где attacker пытается забрать весь DHCP pool, используя bogus MACs. networkterm
DHCP spoofing
DHCP spoofing — атака, где rogue DHCP server выдаёт клиентам ложные IP parameters. networkterm rogue DHCP server — несанкционированный DHCP server внутри сети. networkterm
Опасные последствия:
- wrong default gateway → man-in-the-middle;
- wrong DNS → redirect на malicious site;
- wrong IP → DoS.
Mitigation для обеих атак:
DHCP Snooping
ARP attacks
gratuitous ARP — unsolicited ARP reply/update, который host может отправить без ARP request. networkterm ARP spoofing — подмена ARP information, чтобы связать чужой IP с MAC attacker’а. networkterm ARP poisoning — загрязнение ARP caches ложными IP-to-MAC mappings. networkterm
Mitigation:
DAI
Address spoofing
IP spoofing — использование чужого или ложного IP address. networkterm MAC spoofing — подмена source MAC address, чтобы выглядеть как другое устройство. networkterm
Attacker может заставить switch перепривязать MAC entry к своему порту.
Mitigation:
IPSG
STP attack
STP attack — манипуляция STP, где attacker пытается стать root bridge и изменить topology в свою пользу. networkterm
Mitigation:
BPDU Guardна access ports
CDP reconnaissance
CDP (Cisco Discovery Protocol) — Cisco proprietary Layer 2 discovery protocol. abbreviation reconnaissance — сбор информации о сети перед атакой. networkterm
Проблема CDP:
- он шлёт unencrypted device information;
- attacker может узнать IP, platform, IOS version, capabilities, native VLAN.
Mitigation:
- ограничивать CDP;
- отключать CDP на edge ports;
- по необходимости отключать LLDP тоже.
Карта attack → mitigation
| Attack | Mitigation |
|---|---|
| MAC flooding | Port Security |
| VLAN hopping / double-tagging | manual trunk hardening |
| DHCP starvation / spoofing | DHCP Snooping |
| ARP spoofing / poisoning | DAI |
| IP/MAC spoofing | IPSG |
| STP manipulation | BPDU Guard |
| CDP reconnaissance | disable/limit CDP and LLDP |
Команды, которые полезно помнить
no cdp run
cdp run
no cdp enable
cdp enable
no lldp run
no lldp transmit
no lldp receivecdp run ciscoIOScommand
Включает CDP globally.
no cdp run ciscoIOScommand
Отключает CDP globally.
cdp enable ciscoIOScommand
Включает CDP на interface.
no cdp enable ciscoIOScommand
Отключает CDP на interface.
no lldp run ciscoIOScommand
Отключает LLDP globally.
no lldp transmit ciscoIOScommand
Отключает LLDP transmit на interface.
no lldp receive ciscoIOScommand
Отключает LLDP receive на interface.
Самая полезная таблица для exam
Выучи соответствия:
DHCP -> snooping,ARP -> DAI,IP/MAC spoofing -> IPSG,STP -> BPDU Guard,MAC flooding -> Port Security.
Если понял тему
Ты можешь посмотреть на любую LAN attack scenario и быстро назвать её цель, механизм и правильный mitigation feature.