L'attaque double-tagging (ou double encapsulation) est un autre type d'attaque par saut de VLAN. Ce type d'attaque tire parti de la manière dont le matériel de la plupart des commutateurs fonctionne. La majorité des commutateurs réalisent un seul niveau de désencapsulation 802.1Q, ce qui permet à un pirate d'intégrer une étiquette 802.1Q masquée à l'intérieur de la trame. Cette étiquette permet à la trame d'être transférée vers un VLAN que l'étiquette 802.1Q d'origine n'a pas spécifié. Il est important de noter que l'attaque par saut de VLAN de double encapsulation fonctionne même si les ports trunk sont désactivés, car un hôte envoie généralement une trame sur un segment qui n'est pas une liaison trunk.
Une attaque par saut de VLAN double-tagging se déroule en trois étapes :
1. Le pirate envoie une trame 802.1Q marquée de deux étiquettes au commutateur. L'en-tête externe porte l'étiquette VLAN du pirate, qui est identique au VLAN natif du port trunk. Supposons que le commutateur traite la trame envoyée par le pirate comme si elle se trouvait sur un port trunk ou un port disposant d'un VLAN voix (un commutateur ne doit pas recevoir de trame Ethernet étiquetée sur un port d'accès). Dans cet exemple, supposons que le VLAN natif est le VLAN 10. L'étiquette interne est le VLAN victime ; dans ce cas, il s'agit du VLAN 20.
2. La trame arrive sur le commutateur, qui vérifie la première étiquette 802.1Q de 4 octets. Le commutateur détecte que la trame est destinée au VLAN 10, qui est le VLAN natif. Le commutateur transfère le paquet par tous les ports du VLAN 10 après avoir éliminé l'étiquette du VLAN 10. Sur le port trunk, l'étiquette du VLAN 10 est éliminée et le paquet n'est pas balisé de nouveau, car il fait partie du VLAN natif. À ce stade, l'étiquette du VLAN 20 reste inchangée et n'a pas été inspectée par le premier commutateur.
3. Le deuxième commutateur examine uniquement l'étiquette 802.1Q interne que le pirate a envoyée et constate que la trame est destinée au VLAN 20, le VLAN cible. Il envoie la trame sur le port victime ou la diffuse, selon qu'il existe une entrée de table d'adresse MAC pour l'hôte victime.
Ce type d'attaque est unidirectionnel et ne fonctionne que si le pirate est connecté à un port se trouvant dans le même VLAN que le VLAN natif du port trunk. Ce type d'attaque est plus difficile à contrer que les simples attaques par saut de VLAN.
Le meilleur moyen pour repousser les attaques de double-tagging consiste à s'assurer que le VLAN natif des ports trunk est différent du VLAN de tous les ports utilisateur. En réalité, il est recommandé d'utiliser un VLAN fixe différent de tous les VLAN utilisateur du réseau commuté en tant que VLAN natif pour toutes les trunks 802.1Q.