Другой тип атаки сети VLAN — это атака с двойным тегированием (или с двойной инкапсуляцией). Данный вид атаки основан на использовании принципов работы аппаратного обеспечения на большинстве коммутаторов. Большинство коммутаторов выполняют лишь один уровень деинкапсуляции 802.1Q, что позволяет злоумышленнику вставлять в кадр скрытую метку 802.1Q. Метка позволяет пересылать кадр в сеть VLAN, которая не указана первоначальной меткой 802.1Q. Важное свойство атаки с двойной инкапсуляцией заключается в том, что она действует, даже если транковые порты отключены, поскольку обычно узел отправляет кадр в сегменте, который не является транковым каналом.
Атака VLAN hopping с двойным тегированием происходит в три шага:
1. Злоумышленник отправляет на коммутатор кадр с двойным тегированием 802.1Q. Внешний заголовок содержит метку сети VLAN злоумышленника, которая совпадает с native VLAN транкового порта. Предполагается, что коммутатор обрабатывает полученный от злоумышленника кадр, будто он находится на транковом порте или порте с голосовой VLAN (коммутатор не должен получать тегированный кадр Ethernet на порте доступа). В качестве примера представьте, что сетью native VLAN является VLAN 10. Внутренний тег — это VLAN, подверженная атаке. В данном случае — VLAN 20.
2. Кадр прибывает на коммутатор, который проверяет первые 4 байта тега 802.1Q. Коммутатор видит, что кадр предназначен для VLAN 10, которая является сетью native VLAN. Удалив метку VLAN 10, коммутатор пересылает пакет из всех портов сети VLAN 10. На транковом порте удаляется метка сети VLAN 10, но пакет не тегируется заново, поскольку он является частью native VLAN. В это время метка сети VLAN 20 по-прежнему нетронута и не проверяется первым коммутатором.
3. Второй коммутатор проверяет только внутренний тег 802.1Q, отправленный злоумышленником, и видит, что кадр предназначен для сети VLAN 20, являющейся целью злоумышленника. Второй коммутатор отправляет кадр на атакуемый порт или наполняет его лавинной рассылкой в зависимости от того, есть ли в таблице МАС-адресов запись для атакуемого узла.
Этот вид атаки является однонаправленным и работает, только если злоумышленник подключён к порту, находящимся в той же VLAN, что и сеть native VLAN транкового порта. Предотвратить такую атаку не так легко, как остановить обычные атаки VLAN hopping.
Лучший способ снижения вреда от атак с двойным тегированием — удостовериться, что сеть native VLAN транковых портов отличается от VLAN любых пользовательских портов. Согласно практической рекомендации по обеспечению безопасности, рекомендуется использовать фиксированную VLAN, которая отличается от всех пользовательских VLAN в коммутируемой сети, в качестве сети native VLAN для всех транковых каналов 802.1Q.