VMware 標準交換器可提供保護,以抵禦對 VLAN 安全性的特定威脅。標準交換器的設計方式可保護 VLAN 免受多種攻擊,其中包含 VLAN 跳躍。
具備此保護功能並不保證您的虛擬機器組態不容易遭受其他類型的攻擊。例如,標準交換器不會保護實體網路免受這些攻擊;標準交換器僅可保護虛擬網路。
標準交換器和 VLAN 可抵禦以下類型的攻擊。
- MAC 洪水
-
透過含有標記為來自多個不同來源之 MAC 位址的封包以洪水攻擊交換器。許多交換器使用關聯記憶體資料表來瞭解和儲存每個封包的來源位址。當資料表已滿時,交換器就會進入完全開放狀態,其中的每個傳入封包便會在所有連接埠上廣播,讓攻擊者看見交換器的所有流量。此狀態可能會導致 VLAN 間的封包洩漏。
雖然 VMware 標準交換器會儲存 MAC 位址資料表,但是標準交換器不會從可觀察到的流量中取得 MAC 位址,而且不容易遭受此類型的攻擊。
- 802.1q 和 ISL 標記攻擊
-
透過讓交換器充當主幹並將流量廣播至其他 VLAN,以強制交換器將框架從某個 VLAN 重新導向至另一個 VLAN。
VMware 標準交換器不會執行此攻擊類型所需的動態主幹連線,因此不容易遭受此類攻擊。
- 雙重封裝攻擊
-
當攻擊者建立雙重封裝封包時發生,此類封包中內部標籤的 VLAN 識別碼與外部標籤的 VLAN 識別碼不同。為了回溯相容,原生 VLAN 會從已傳輸的封包去除外部標籤,除非另以其他方式設定。當原生 VLAN 交換器去除外部標籤時僅會剩下內部標籤,這個內部標籤會將封包路由至與在目前遺失的外部標籤中所識別到的不同 VLAN。
VMware 標準交換器會在針對特定 VLAN 設定的連接埠上,置放虛擬機器嘗試傳送的任何雙重封裝框架。因此,VMware 標準交換器不容易遭受此類型的攻擊。
- 多點傳送暴力密碼破解攻擊
-
與幾乎同時傳送大量多點傳送框架至已知的 VLAN 有關,這會使交換器超載,如此一來交換器便會錯誤地允許部分框架廣播至其他 VLAN。
VMware 標準交換器不允許框架離開其正確的廣播網域 (VLAN),因此不容易遭受此類型的攻擊。
- 跨距樹狀目錄攻擊
-
以跨距樹狀目錄通訊協定 (STP) 為攻擊目標,此通訊協定通常用來控制 LAN 各部分間的橋接。攻擊者會傳送嘗試變更網路拓撲的橋接通訊協定資料單位 (BPDU) 封包,以將其自行建立為根橋接。建立為根橋接後,攻擊者便可窺探已傳輸框架的內容。
VMware 標準交換器不支援 STP,因此不容易遭受此類型的攻擊。
- 隨機框架攻擊
-
與傳送大量封包有關,封包中的來源和目的地位址保持不變,但欄位的長度、類型或內容卻隨機遭到變更。此攻擊的目標是強制交換器錯誤地將封包路由至不同的 VLAN。
VMware 標準交換器不容易遭受此類型的攻擊。
由於新的安全威脅會隨著時間不斷進化,因此請勿認為此表已詳盡列出所有攻擊。請定期檢查 Web 上的 VMware 安全性資源,以瞭解安全性、最新安全性警示,以及 VMware 安全性策略的相關資訊。