Switch Spoofing Attack & Double Tagging Attack

November 23

Switch Spoofing Attack

Ada berbagai jenis serangan VLAN di jaringan yang beralih ke modern. Arsitektur VLAN
menyederhanakan pemeliharaan jaringan dan meningkatkan kinerja, tetapi juga membuka pintu
untuk penyalahgunaan. Hal ini penting untuk memahami metodologi yang umum di belakang
serangan ini dan pendekatan utama untuk mengurangi mereka. VLAN melompat memungkinkan
lalu lintas dari satu VLAN untuk dilihat oleh VLAN lain. Switch spoofing adalah jenis VLAN
melompat serangan yang bekerja dengan mengambil keuntungan dari pelabuhan salah
dikonfigurasi batang. Secara default, Port batang memiliki akses ke semua VLAN dan melintasi
lalu lintas untuk VLAN beberapa dari link fisik yang sama, umumnya antara switch.

Pada gambar di atas menggambarkan animasi serangan spooping switch.

Dalam sebuah saklar dasar serangan spoofing, penyerang mengambil keuntungan dari fakta
bahwa konfigurasi standar switch port otomatis dinamis. Penyerang jaringan mengkonfigurasi
sistem untuk menipu dirinya sebagai switch. Spoofing ini memerlukan bahwa jaringan
penyerang mampu meniru 802.1Q dan DTP pesan. Dengan pembodohan beralih ke berpikir
bahwa satu lagi switch berusaha membentuk batang, penyerang dapat memperoleh akses ke
semua VLAN yang diizinkan pada trunk port. cara terbaik untuk mencegah serangan spoofing
dasar switch akan mematikan trunking pada semua Port, kecuali orang-orang yang khusus
memerlukan trunking. Pada port trunking diperlukan, Nonaktifkan DTP, dan secara manual
mengaktifkan trunking.
Double- Tagging Attack
Jenis lain dari serangan VLAN adalah VLAN penandaan ganda (atau ganda-enkapsulasi)
melompat serangan. Jenis serangan ini mengambil keuntungan dari cara yang keras pada
kebanyakan saklar beroperasi. Kebanyakan saklar melakukan hanya satu tingkat 802.1Q de
enkapsulasi, yang memungkinkan seorang penyerang untuk menanamkan.1Q tersembunyi tag di

dalam bingkai. Tag ini memungkinkan frame untuk diteruskan ke VLAN yang.1Q asli tag tidak
menentukan. Karakteristik penting dari ganda-enkapsulasi VLAN melompat serangan adalah
bahwa ia bekerja bahkan jika Port batang dinonaktifkan, karena sejumlah biasanya mengirimkan
sebuah frame pada segmen yang tidak link batang.

Penandaan ganda VLAN melompat serangan mengikuti tiga langkah:

1. penyerang mengirimkan 802.1Q ganda-tagged bingkai untuk beralih. Header luar
memiliki tag VLAN penyerang, yang sama sebagai VLAN asli dari trunk port.
Asumsinya adalah bahwa saklar proses bingkai yang diterima dari penyerang seolah-olah
pada trunk port atau port dengan suara VLAN (saklar seharusnya tidak menerima bingkai
Ethernet tagged pada port akses). Untuk keperluan contoh ini, menganggap bahwa VLAN
asli VLAN 10. Tag batin adalah korban VLAN; dalam kasus ini, VLAN 20.
2. frame tiba di Aktifkan, yang tampak pada tag 4-byte 802.1Q pertama. Switch melihat
bahwa bingkai ditakdirkan untuk VLAN 10, yang merupakan VLAN asli. Switch
meneruskan paket keluar pada semua VLAN 10 Port setelah pengupasan tag VLAN 10.
Pada trunk port, tag VLAN 10 dilucuti, dan paket yang tidak retagged karena itu adalah
bagian dari VLAN asli. Pada titik ini, VLAN 20 tag masih utuh dan tidak telah diperiksa
oleh switch pertama.
3. Tombol kedua hanya memandang802.1Q batin tag yang penyerang dikirim dan melihat
bahwa bingkai ditakdirkan untuk 20 VLAN, target VLAN. Tombol kedua untuk
mengirim frame ke pelabuhan korban atau banjir itu, tergantung pada apakah ada MAC
alamat tabel entri yang sudah ada untuk host korban.
pendekatan yang terbaik untuk mengurangi serangan penandaan ganda adalah untuk memastikan
bahwa VLAN asli trunk port berbeda dari VLAN pelabuhan pengguna. Pada kenyataannya, itu
dianggap penerapan keamanan terbaik untuk menggunakan VLAN tetap yang berbeda dari
semua VLAN pengguna di jaringan beralih sebagai VLAN asli untuk semua802.1Q batang

mengetahui serangan ARP

Apa ARP Mean?

Address Resolution Protocol (ARP) adalah protokol stateless, dirancang untuk
memetakan alamat Internet Protokol (IP) untuk berhubungan Media Access Control
mereka (MAC) alamat. Ini dikatakan, dengan pemetaan alamat IP 32 bit ke alamat
48 bit yang terkait MAC melalui perangkat Ethernet terpasang, komunikasi antara
node lokal dapat dibuat.

Pada sebagian besar sistem operasi, seperti Linux, FreeBSD, dan lainnya sistem
operasi UNIX based, dan bahkan termasuk Windows, "arp" Program hadir. Program
ini dapat digunakan untuk menampilkan dan / atau memodifikasi entri ARP cache.
Sebuah contoh output "arp" utilitas akan terlihat seperti berikut:
Jendela:
> ArpInterface: 192.168.1.100 .- 0x10003
Alamat Internet Tipe Alamat Fisik
192.168.1.1 00-13-10-23-9a-53 yang dinamis
Linux:
$ Arp-na
? (192.168.1.1) di 00:90: B1: DC: F8: C0 [eter] pada eth0
FreeBSD:
$ Arp-na
? (192.168.1.1) di 00:00:00 c: 3e: 4d: 49 pada bge0

Bagaimana ARP bekerja?

Khusus untuk Internet Protocol Version 4 (IPv4), ARP alamat IP peta antara lapisan
Network dan lapisan data link dari Interkoneksi Sistem Terbuka (OSI) model.
Untuk penjelasan lebih lengkap dan menyeluruh tentang bagaimana resolusi alamat
bekerja, dan spesifik protokol, silakan berkonsultasi RFC 826.

Protokol ARP Cacat: Kelemahan utama adalah ARP dalam cache. Mengetahui bahwa adalah mungkin
untuk ARP untuk memperbarui entri yang sudah ada serta menambah cache, ini
menyebabkan orang untuk percaya bahwa balasan ditempa dapat dibuat, yang
mengakibatkan serangan ARP cache poisoning.

Syarat & Definisi: ARP Cache Poisoning: Penyiaran ditempa ARP balasan pada jaringan lokal. Dalam
arti, "menipu" node pada jaringan. Hal ini dapat dilakukan karena ARP tidak
memiliki fitur otentikasi, sehingga membabi buta menerima dan membalas
permintaan yang diterima atau dikirim.
Alamat MAC Banjir: Sebuah ARP cache keracunan serangan yang terutama
digunakan dalam lingkungan diaktifkan. Dengan banjir beralih dengan alamat MAC
palsu, switch adalah kelebihan beban. Karena ini, siaran semua lalu lintas jaringan
ke setiap node terhubung. Hasil ini disebut sebagai "modus siaran" karena, semua
lalu lintas melewati switch disiarkan keluar seperti Hub akan lakukan. Hal ini
kemudian dapat mengakibatkan mengendus semua lalu lintas jaringan.

Serangan ARP: 1] Koneksi Pembajakan & Interception: Packet atau koneksi pembajakan dan
intersepsi adalah tindakan di mana setiap client yang terhubung dapat korban ke
dalam mendapatkan koneksi mereka dimanipulasi dengan cara bahwa adalah
mungkin untuk mengambil kendali penuh atas.
2] Koneksi ulang: Nama menjelaskan sendiri sangat baik. Ketika kita ulang
koneksi klien, kami memotong hubungan mereka ke sistem. Hal ini dapat dengan
mudah dilakukan menggunakan kode khusus dibuat untuk melakukannya.
Untungnya, kita memiliki perangkat lunak indah yang dibuat untuk membantu kita
dalam melakukannya.
3] Man in the middle: Salah satu cara yang lebih menonjol menyerang pengguna
lain dalam rangka untuk membajak lalu lintas mereka, adalah dengan cara Manusia
Dalam Serangan (MITM) Tengah. Berbeda dengan serangan lainnya, MITM adalah
lebih merupakan manipulasi paket serangan yang pada akhirnya namun tidak
mengakibatkan pengalihan paket ke penyerang. semua lalu lintas akan dikirim ke
penyerang melakukan serangan MITM. Serangan ini Namun adalah spesifik. Sebagai
lawan Banjir Alamat MAC atau serangan lain terhadap router / switch, serangan
MITM adalah melawan korban, dan juga dapat dilakukan di luar lingkungan
diaktifkan. Dengan demikian, artinya, serangan dapat dilakukan terhadap orang di
sisi lain negeri ini.
4] Packet Sniffing: Sniffing pada Local Area Network (LAN) cukup mudah jika
jaringan tersegmentasi melalui sebuah hub, bukan switch. Hal ini tentu saja
mungkin untuk mengendus pada lingkungan diaktifkan dengan melakukan
serangan banjir MAC. Sebagai akibat dari banjir MAC, switch akan bertindak sebagai
sebuah hub, dan memungkinkan seluruh jaringan akan mendengus. Ini memberi

Anda kesempatan untuk menggunakan apapun mengendus perangkat lunak yang

tersedia bagi Anda untuk melawan jaringan, dan mengumpulkan paket.
5] Denial of Service: MAC Banjir Alamat dapat dianggap sebagai Denial of service
attack. Ide utama dari banjir MAC, adalah untuk menghasilkan paket data yang
cukup untuk mengirim ke switch, mencoba untuk membuatnya panik. Hal ini akan
menyebabkan saklar untuk drop ke mode broadcast dan siaran semua data paket.
Namun ini tidak mengakibatkan kecelakaan, atau layanan untuk dibuang, tetapi
harus kelebihan beban