🔥 Bạn nghĩ rằng đã cô lập tốt các VLAN trong mạng LAN của mình? Hãy cẩn thận – VLAN Hopping có thể là kẽ hở bạn đang bỏ sót!
Trong hạ tầng mạng doanh nghiệp, VLAN là công cụ đắc lực để phân đoạn lưu lượng, cô lập người dùng và tăng cường bảo mật. Nhưng nếu bạn không cấu hình đúng, một kẻ tấn công có thể... "nhảy VLAN" và truy cập vào những vùng mà họ không được phép.

---

💣 VLAN Hopping là gì?

VLAN Hopping là một kỹ thuật tấn công cho phép kẻ xấu gửi lưu lượng vào VLAN khác — mà không cần có quyền hợp pháp trên VLAN đó. Có hai kỹ thuật chính được sử dụng để thực hiện kiểu tấn công này: Tấn công trung kế giả (switch spoofing) và Tấn công đóng gói kép (double tagging).

---

🕵️‍♂️ Kỹ thuật 1: Giả mạo kết nối trunk (Switch Spoofing Attack)

Mấu chốt nằm ở giao thức Dynamic Trunking Protocol (DTP) – vốn được Cisco thiết kế để tự động hóa việc tạo trunk giữa các switch. DTP có các chế độ như:

• On – ép cổng trở thành trunk, không cần đàm phán.
• Off – ép cổng không bao giờ là trunk.
• Desirable – chủ động yêu cầu tạo trunk nếu đối tác cho phép.
• Auto – chờ đối phương gợi ý tạo trunk (nhiều switch mặc định ở chế độ này).
• Non-negotiate – không tham gia DTP, nhưng vẫn hoạt động trunk nếu cấu hình thủ công.

🚨 Nếu cổng được đặt ở Auto hoặc Desirable, một máy tấn công có thể giả làm switch khác, gợi ý tạo trunk → và trở thành thành viên của tất cả VLAN đi qua trunk đó!
👉 Hệ quả: Hacker từ VLAN 10 có thể ngửi lưu lượng của VLAN 20, 30,... như thể đang "ngồi giữa" các mạng nội bộ khác nhau.
✅ Cách phòng chống:

• Tắt DTP hoàn toàn bằng cách đặt các cổng không phải trunk về mode access + "switchport nonegotiate".
• Đảm bảo chỉ cổng kết nối giữa các switch mới được phép trunk.
• Tắt cổng không dùng và đặt chúng vào VLAN cô lập (ví dụ VLAN 999).

---

🎭 Kỹ thuật 2: Tấn công đóng gói kép (Double Tagging)

Đây là một kỹ thuật tinh vi hơn, khai thác hành vi phân tích thẻ VLAN không sâu của nhiều thiết bị chuyển mạch:

1. Hacker gửi một frame có 2 lớp gắn thẻ VLAN (.1Q tags).
2. Switch đầu tiên xử lý tag ngoài (ví dụ VLAN 10), và chuyển frame vào cổng trunk.
3. Tag bên trong (ví dụ VLAN 20) vẫn còn nguyên, và switch thứ hai xử lý nó như thể là lưu lượng hợp pháp của VLAN 20.

🧨 Điểm nguy hiểm: Kẻ tấn công không cần DTP, không cần trunk, chỉ cần cắm vào cổng access bình thường cũng thực hiện được nếu cấu hình không cẩn thận!
✅ Cách phòng chống:

• Không dùng VLAN 1 làm VLAN native (vì frame không gắn thẻ sẽ mặc định vào đây).
• Đặt VLAN native thành một VLAN riêng biệt và không sử dụng cho người dùng.
• Kích hoạt tính năng như vlan dot1q tag native trên một số switch để mọi lưu lượng đều được gắn thẻ rõ ràng.

---

📌 Ghi nhớ nhanh:

• 🔐 Mặc định của switch không bao giờ là cấu hình an toàn.
• 💡 Kiểm tra lại tất cả cổng switch: Cổng nào không cần trunk thì phải tắt trunk và cả DTP.
• 📉 VLAN là biện pháp phân đoạn – không phải là giải pháp bảo mật hoàn hảo. Luôn cần kiểm soát truy cập và giám sát.

---

📚 Muốn biết thêm về cách harden hệ thống mạng switch layer 2 chống các kỹ thuật tấn công tinh vi như VLAN hopping, DHCP spoofing, STP manipulation...?
🛡️ Theo dõi page để nhận các bài hướng dẫn chuyên sâu từ góc nhìn CCIE Security và thực chiến SOC.
Bạn đã từng gặp trường hợp bị VLAN Hopping trong môi trường thật chưa? Bình luận bên dưới nhé! 💬👇








​