Cisco CCNP BCMSN sertifika sınavı hazırlığımız sırasında, davetsiz misafirlerin görünüşte masum ARP’yi nasıl kullanabileceğini ve DHCP süreçlerinin ağımıza zarar vermek için kullanılabileceğini gördük, bu nedenle Dot1q etiketlemenin bize karşı da kullanılabilmesi şaşırtıcı olmamalı. !
VLAN Atlamanın bir biçimi çift etiketlemedir, davetsiz misafir iki ayrı VLAN kimliğiyle “çift etiketli” çerçeveler ileteceği için bu şekilde adlandırılmıştır. Örneğimizde göreceğiniz gibi, bir çift etiketleme saldırısının başarılı olması için belirli koşulların mevcut olması gerekir:
Davetsiz misafirin ana bilgisayarı bir erişim portuna bağlanmalıdır.
Bu erişim bağlantı noktası tarafından kullanılan VLAN, yerel VLAN olmalıdır.
“Yerel VLAN” terimi bizi üçüncü gereksinime yönlendirir – dot1q, ISL yerel VLAN’ı kullanmadığından, kullanılan ana hat protokolü olmalıdır.
Hileli sunucu bir çerçeve ilettiğinde, bu çerçevenin iki etiketi olacaktır. Biri yerel VLAN üyeliğini gösterecek ve ikincisi saldırı altındaki VLAN’ın sayısı olacaktır. Bu örnekte, yerel VLAN’ın VLAN 25 olarak ayarlanmasıyla bunun VLAN 100 olduğunu varsayacağız.
Bu çift etiketli çerçeveyi alan ana hat, VLAN 25 etiketini görecek ve bu yerel VLAN olduğundan, bu etiket kaldırılacak ve ardından ana hat üzerinden iletilecek – ancak VLAN 100 etiketi hala orada!
Devrenin diğer tarafındaki anahtar bu çerçeveyi aldığında, VLAN 100 etiketini görür ve çerçeveyi o VLAN’daki bağlantı noktalarına iletir. Haydut şimdi anahtarları başarıyla kandırdı ve bir VLAN’dan diğerine atladı.
Bu nedenle, ağdaki hiçbir ana bilgisayarın üyesi olmadığı bir VLAN’a ayarlanmış bir ağın yerel VLAN’ını sık sık görürsünüz – bu, VLAN Atlamanın bu sürümünü tam yolunda durdurur.
“Bu sürüm” dediğime dikkat edin. CIsco CCNP BCMSN sertifika sınavı eğitim serimin bir sonraki kurulumunda başka bir VLAN Atlama taktiğine göz atacağız!
