通过 VMware 标准交换机可阻止某些威胁 VLAN 安全的行为。标准交换机的设计方式使其可以保护 VLAN 防御各种攻击,其中多种攻击均涉及 VLAN 跳转。

有了这层保护并不能保证您的虚拟机配置不会遭受其他类型的攻击。例如,标准交换机只能保护虚拟网络免遭这些攻击,但不能保护物理网络。

标准交换机和 VLAN 可以抵御以下类型的攻击。

由于将来还会不断出现新的安全威胁,因此请勿将此视作有关攻击的详尽列表。请定期查看网站上的 VMware 安全资源,了解安全警示、近期安全警示及 VMware 安全策略。

MAC 泛洪攻击

MAC 泛洪攻击会使交换机充满大量数据包,其中包含标记为来自不同源的 MAC 地址。许多交换机使用内容可寻址内存表了解和存储每个数据包的源地址。当此表填满时,交换机会进入完全开放状态,此时将在所有端口广播每个入站数据包,致使攻击者看到交换机上的所有流量。此状况可能导致 VLAN 间的数据包泄漏。

尽管 VMware 标准交换机存储 MAC 地址表,但不会获取来自可观测流量的 MAC 地址,因此不容易受到此类攻击。

802.1q 和 ISL 标记攻击

802.1q 和 ISL 标记攻击强制交换机将帧从一个 VLAN 重定向至另一个 VLAN,方法是通过欺骗手段致使交换机充当中继并向其他 VLAN 广播流量。

VMware 标准交换机不执行此类攻击所需的动态中继,因此不会遭到攻击。

双重封装攻击

当攻击者创建一个双重封装数据包,其内部标记中的 VLAN 标识符与外部标记中的 VLAN 标识符不同时,双重封装攻击发生。为实现向后兼容性,本机 VLAN 将去除传输数据包的外部标记,除非进行其他配置。当本机 VLAN 交换机去除外部标记后,只剩下内部标记,它将把数据包路由到与所去除外部标记中标识的 VLAN 不同的 VLAN。

VMware 标准交换机会丢弃虚拟机尝试通过为特定 VLAN 配置的端口发送的任何双重封装帧。因此,它们不容易遭到此类攻击。

多播暴力攻击

涉及到将大量多播帧几乎同时发送到已知 VLAN,使交换机过载,从而错误地允许向其他 VLAN 广播一些帧。

VMware 标准交换机不允许帧离开其正确的广播域 (VLAN),因此不容易遭到此类攻击。

生成树攻击

生成树攻击针对的是生成树协议 (STP),此协议用于控制 LAN 组件间的桥接。攻击者发送网桥协议数据单元 (BPDU) 数据包,尝试更改网络拓扑,将攻击者自己建立成为根网桥。作为根网桥,攻击者可以嗅探传输帧的内容。

VMware 标准交换机不支持 STP,因此不容易遭到此类攻击。

随机帧攻击

随机帧攻击涉及发送大量数据包,这些数据包的源地址和目标地址保持不变,但字段的长度、类型或内容会随机变化。此类攻击的目标是强制交换机错误地将数据包重新路由到不同 VLAN。

VMware 标准交换机不容易遭到此类攻击。