Vlan Hopping Attack

1/ Vlan Hopping là gì ?
Vlan Hopping là một Phương pháp tấn công mạng bằng cách gởi các gói tin đến một
cổng mà thông thường không thể truy cập từ đầu cuối. Bởi vì VLAN là một mạng ảo
cục bộ với định nghĩa ánh xạ với những vùng hay vị trí tương ứng ví dụ : theo bộ
phận , theo người dùng hoặc ứng dụng.
Một cuộc tấn công Vlan Hopping có thể xảy ra theo cả 2 cách. Nếu thiết bị switch
được cái đặt autotrunking , attacker sẽ lợi dụng việc này để có thể truy cập vào tất
cả các vlan được cấp phép trên cổng Trunk

2/ DTP là gì ?
DTP được viết tắt từ Dynamic Trunking Protocol là một giao thức độc quyền của Cisco
, nó được dùng để tự động đàm phán đường trunk giữa thiết bị Switch của Cisco .
DTP có thể được sử dụng để đám phán và hình thành kết nối trunking một cách linh
hoạt hơn.
DTP có thể hoạt động ở các cơ chế khác nhau được liệt kê bên dưới:

Hình 1: Các Mode DTP

Th.s Đào Thế Hưng

Để thực hiện thành công được cuộc tấn công , chế độ của Switch sẽ được đặt là
dynamic desirable, dynamic auto hoặc trunk, chế độ này cho phép Switch có
thể đàm phán và gởi ra các gói DTP. Và mặc định thì Cisco Switch đã được set ở chế
độ dynamic desirable.

3/ Mô tả quá trình tấn công

Sơ đồ gồm:
- Kali Linux ( Kẻ tấn công )
- Virtual Host ( Victim )
- Switch Cisco

Hình 2: Sơ đồ
Mô tả: Trong một doanh nghiệp có kết nối giữa các phòng ban được phân ra thành
các Vlan 100 , 200 . Lúc này máy Attacker sẽ có cùng lớp Vlan 100 với máy PC-01,
vì là cùng Vlan nên chắc chắn PC-01 và máy của Attacker sẽ nhìn thây nhau khi được
đấu cùng 1 Switch.

Thiết bị IP Vlan Tag

PC-01 172.16.0.3 100
PC-02 10.0.0.4 200
Attacker 172.16.0.5 100

Th.s Đào Thế Hưng

Giả sử rằng kẻ tấn công đã có thể truy cập vào Vlan 100 cùng lớp với PC-01 ( cùng
Subnet), hai máy lúc này có thể ping thấy nhau. PC-02 thuộc một Vlan khác , subnet
khác nên chắc chắn sẽ không thể nào từ PC-01 và Attacker có thể truy cập sang.

Hình 3: Ping từ PC-01

Hình 4: Kali ping PC-01

Th.s Đào Thế Hưng

Thử ping từ máy Kali sang Vlan 200 chắc chắn sẽ không đến được ( do khác nhau
Vlan )

Hình 5: Ping không thành công Vlan 200

Kiểm thử cấu hình trên Switch:

Hình 6: Config Vlan on Switch

Như chúng ta đã
nói ở trên , để có
thể thực hiện
cuộc tấn công
thành công ,
Switch cần phải
được cấu hình ở
chế độ Dynamic
Desirable. Khi
check cấu hình ở
hình trên đã
đảm bảo điều
đó.

Hình 7: Cấu hình trên Port Trunk

Th.s Đào Thế Hưng

Lúc này ta có thể sử dụng tool “YERSINIA” để kích hoạt mode Trunk , nhưng trước
tiên chúng ta có thể xem qua trạng thái của các Vlan ở mỗi port

Hình 8: Trạng thái port

Để xem được quá trình chúng ta sẽ chạy ở chế độ debug và xem gói DTP đang đến
thế nào.

Hình 9: DTP Debug

Giờ thì xem thử Yersinia chạy thế nào

Hình 10: Launch Yersinia

Th.s Đào Thế Hưng

 Hình 11: Kích hoạt một Trunking
Quay trở lại màn hình của Switch để xem Switch có nhận được đàm phán DTP
không nhé !

Hình 12: DTP Event

Hình 13: Kiểm tra lại port đang kết nối tới máy của Hacker
Port G0/0 lúc này từ Vlan 100 đã chuyển sang Trunk có nghĩa ta có thể nhảy sang
các Vlan khác.

Th.s Đào Thế Hưng

 Hình 14: Các Vlan cho phép Trunk trong cổng G0/0

Trên máy Kali ta thực hiện cấu hình Vlan mới với ID 200, sau đó gán một IP mới
thuộc Vlan 200 vào giao diện interface eth0.200

Hình 15: Add Vlan

Kết quả ping thành công sang Host thuộc Vlan 200 ( Jump thành công )

Hình 16: Ping Success

Th.s Đào Thế Hưng

4/ Giảm thiểu rủi ro
Vlan Hopping chỉ có thể bị khai thác khi Interface của Switch được thiết lập
tự đàm phám. Để có thể chống lại việc Vlan Hopping bị khai thác chúng ta có thể
dùng biện pháp giảm thiểu sau :
- Tắt DTP trên port: switchport nonegotiate
- Không dùng Vlan 1
- Tắt các port không sử dụng và cho nó vào các Vlan không dùng tới
- Chỉ Add những Vlan đang dùng vào trong đường Trunk

Nguồn tham khảo:

- https://www.cisco.com/c/dam/global/en_ae/assets/exposaudi2009/assets/docs/layer2-attacksand-
mitigation-t.pdf
- https://searchsecurity.techtarget.com/definition/VLAN-hopping

Th.s Đào Thế Hưng