ARP信息
一、ARP攻击(Address Resolution Protocol)地址解析协议
1、ARP欺骗攻击---仿冒网关(中间人攻击)
攻击者发送伪造的网关ARP报文,欺骗同网段的其他主机。
主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常上网。
终端解决:手动设置MAC地址和IP地址绑定
2、ARP欺骗攻击--欺骗网关
攻击者伪造虚假的ARP报文,欺骗网关相同网段的某一合法用户的MAC地址已经更新。
网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
3、ARP泛洪攻击--无法服务攻击,CPU会很高。
攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网。
设备层面解决:一般会有CPU保护,每种报文,不能超过阈值(限流),超过就丢包。
技术层面解决:DHCP Snooping协议,IPSG协议(禁止手动配置IP,必须DHCP自动获取的才能上网)。
4、普通ARP、代理ARP、免费ARP原理及应用场景解析
普通ARP
代理ARP:解析的目的IP和设备接收到ARP报文接口的IP地址不在一个网段,静态路由,只有出接口,没有下一跳的时候,会触发代理ARP。
免费ARP:免费ARP用于在DHCP客户端中用于查询是否IP地址冲突(封装的源ip和目标ip地址一致),MAC地址变化,免费ARP通告。