[网络基础]：ARP协议、ARP欺骗与攻击

[网络基础]：ARP协议、ARP欺骗与攻击

 

ARP

 

广播与广播域概述

 

广播与广播域

 

广播：将广播地址作为目的地址的数据帧

 

广播域：网络中能接收到同一个个广播所有节点的集合

 

MAC地址广播

 

广播地址：FF－FF－FF－FF－FF－FF

 

IP地址广播

 

1、255.255.255.255

 

2、广播IP地址为IP地址网段的广播地址，如192.168.1.255/24

 

ARP协议概述

 

地址解析协议

 

将一个已知的IP地址解析成MAC地址

 

 

 

 

ARP：

1、地址解析协议

2、作用：

 

将IP解析为MAC地址

 

3、原理：

 

1）发送ARP广播请求

 

ARP报文内容：

 

我是10.1.1.1 我的MAC：AA

 

谁是10.1.1.3 你的MAC？

 

2）接受ARP单播应答

 

4、ARP攻击或欺骗的原理：

 

通过发送伪造虚假的ARP报文（广播或单播），来实现攻击或欺骗

 

如虚假报文的MAC是伪造的不存在的，实现ARP攻击，结果为终端通信/断网

 

如虚假报文的MAC是攻击者自身的MAC地址，实现ARP欺骗，结果可以监听、窃取、篡改、控制流量，但不中断通信！

 

5、ARP协议没有验证机制

 

6、ARP攻击者通过发送虚假伪造的ARP报文对受害者进行ARP缓存投毒

 

７、路由器的工作原理

 

    1)一个帧到到达路由,路由器首先检查目标MAC地址是否自己,如果不是自己则丢弃,如果是则解封装,并将IP包送到路由器内部

 

    2)路由器检查IP包头中的目标IP,并匹配路由表,如果匹配失败,则丢弃,并向源IP回馈错误信息,如果匹配成功,则将IP包路由到出接口.

 

    3)封装帧，首先将出接口的MAC地址作为源MAC地址封装好,然后检查ARP缓存表,检查是否有下一跳的MAC地址,如有,将提取其并作为目标MAC地址封装到帧中，如没有，则发送ARP广播请求下一跳的MAC地址，并获取对方的MAC地址，再记录缓存，并封装帧，最后将帧发送出去．

 

 

ARP攻击防御

 

１、静态ARP绑定

 

手工绑定/双向绑定

 

Windows客户机上：

 

arp -s 10.1.1.254 00-20-2c-a0-e1-o9

 

2、ARP防火墙

 

自动绑定静态ARP

 

主动防御

 

3、硬件级ARP防御

 

交换机支持”端口“做动态ARP绑定（配合DHCP服务器）

 

或做静态ARP绑定