路由及ARP攻击欺骗的原理

一、广播与广播域概述

广播与广播域

 

　　广播：将广播地址作为目的地址的数据帧

　　广播域：网络中能接收到同一个广播所有节点的集合

MAC地址广播

　　广播地址为FF-FF-FF-FF-FF-FF

IP地址广播

　　1.255.255.255.255

　　2.广播IP地址为IP地址网段的广播地址,入192.168.1.255/24

PS:交换机控制不了广播域，路由器隔离广播域

二、ARP协议概述

 什么是ARP协议

　　Address Resolution Protocol，地址解析协议

　　将一个已知的IP地址解析成MAC地址

　　ARP广播请求

　　ARP单播应答

IP地址解析为MAC地址过程

　　-PC1发送数据给PC2,查看缓存没有PC2的MAC地址

　　-PC1发送ARP请求消息(广播)

　　-所有主机收到ARP请求消息

　　　　*PC2回复ARP应答(单播)

　　　　*其他主机丢弃

　　-PC1将PC2的MAC地址保存到缓存中,发送数据

PS: ARP作用于局域网，属于二层，被路由器阻隔，可被用于内网渗透，无法作用于外网

　　交换机隔离冲突域，路由器隔离广播域

ARP相关命令

Windows系统中的ARP命令

    arp -a: 查看ARP缓存表
    arp -d：清楚ARP缓存
    arp -s：ARP绑定

Cisco系统中的ARP命令

Router#show arp                           　　 //查看ARP缓存表
Router#clear arp-cache                    　　 //清除ARP缓存    
Router#arp ip-address mac-address arpa  　　　　//ARP绑定

ARP攻击原理

 　   欺骗其他所有计算机

　　欺骗被攻击计算机

ARP欺骗原理

　　ARP欺骗网关

　　 ARP欺骗主机

ARP原理演示

需求分析

　　PC1和PC2第一次通信

步骤：

　　使用ipconfig /all查看PC1和PC2的MAC地址

　　用arp -a 查看ARP缓存

　　在PC1上pingPC2后,再用“arp -a”查看ARP缓存表

PS：当有两个应答的时候，后到的ARP应答写到报文里面

ARP攻击是通过发布虚假的ARP广播或应答报文来实现攻击或欺骗

　　如虚假报文中的mac是伪造的不存在的，实现ARP攻击，结果为终端通信

　　如虚假报文中的mac是攻击者自身的mac地址，实现ARP欺骗，结构可以监听、窃取、篡改、控制

　　流量，但不中断通信！

　　造成ARP攻击或欺骗的现象的情况是由于ARP协议没有验证机制

　　ARP攻击者通过发送虚假的ARP报文对受害者进行ARP缓存进行投毒

ps:交换机不能配置ip的网络设备 无mac地址

路由器的工作原理

　　1) 一个帧到达路由,路由器首先检测目标MAC地址是否是自己,如果不是则丢弃,如果是则解封装,

　　并将IP包送到路由器内部。

　　2) 路由器检测IP包头中的目标IP,并匹配路由表,如果匹配失败,则丢弃,并向源IP回馈错误信息,

　　如匹配成功,则将IP包路由到出接口。

　　3) 封装帧,首先将出接口的MAC地址作为源MAC封装好,然后检查ARP缓存表,检查是否有下一跳的

　　MAC地址,如果有,将提取并作为目标MAC地址封装到帧中,如没有,则发送ARP广播请求下一跳的MAC,

　　并获取到对方的MAC地址,再记录缓存,并封装帧,最后将帧发送过去。

ARP攻击防御

　　1.静态ARP绑定

　　　　手工绑定/双向绑定

　　2.ARP防火墙

　　　　自动绑定静态ARP

　　　　主动防御

　　3.硬件级ARP防御

　　　　交换机支持端口做动态ARP绑定(配置DHCP服务器)

　　　　或做静态ARP绑定