千鋒教育網路安全學習筆記11-ARP協議、攻擊、欺騙與防禦
目錄
ARP
廣播與廣播域概述
ARP協議概述
ARP:
1、地址解析協議:
2、作用:
3、原理:
4、ARP攻擊與欺騙的原理:
5、ARP協議沒有驗證機制:
6、ARP攻擊者通過傳送虛假偽造的ARP報文對受害者進行ARP快取投毒
7、路由器的工作原理
ARP攻擊防禦
1、靜態ARP繫結
2、ARP防火牆
3、硬體級ARP防禦
ARP
廣播與廣播域概述
廣播與廣播域
廣播:將廣播地址作為目的地址的資料幀,即目的MAC地址全一
廣播域:網路中能接受同一個廣播的所有節點的集合
MAC地址廣播
廣播地址:FF-FF-FF-FF-FF-FF
IP地址廣播:網段號不變,主機位全為1
ARP協議概述:
地址解析協議
將一個已知的IP地址解析為MAC地址
ARP:
1、地址解析協議
2、作用:
將IP解析為MAC地址
3、原理:
1)傳送ARP廣播發現請求
發現報文內容為:
我是10.1.1.1 我的MAC地址是:AA
誰是10.1.1.3 你的MAC地址是多少啊
2)接收ARP單播應答
正常情況下來自目標主機,
這個沒有驗證,也就給黑客們有了可乘之機。
4、ARP攻擊或欺騙的原理:
通過傳送偽造的虛假的ARP報文(廣播或單播),來實現攻擊或欺騙
如果虛假報文的MAC地址是偽造的或不存在的,實現ARP攻擊
結果為阻斷倆者通訊,若其中有一個是閘道器,則阻斷另一個上網
如果虛假報文中的MAC地址是攻擊者的自身的MAC地址,實現ARP欺騙
結果可以監聽、盜取、篡改、控制流量,但不中斷通訊。
造成上面原因的是被攻擊者的每次通訊都得經過攻擊者然後再轉發出去
5、ARP協議沒有驗證機制
6、ARP攻擊者通過傳送虛假偽造的ARP快取投毒
7、路由器的工作原理
1)一個幀到達路由,路由器先檢查目標MAC是否是自己,若不是自己則丟棄,如果是則解封裝,並將IP資料包送到路由器內部2)路由器檢查IP包頭中的目標IP,並匹配路由表項,如果匹配失敗,則丟棄,並向源端傳送一個ICMP差錯報文,如果匹配成功則將IP報路由到出介面 3)封裝幀,首先將出介面的MAC地址作為源MAC地址封裝好,然後檢查ARP快取表,查詢下一跳對應的MAC地址,若找到則直接封裝為目標MAC地址併發出,若沒找到,則傳送ARP廣播尋找下一跳的MAC地址,並獲取對方的MAC地址,再記錄快取,並封裝幀,最後將幀傳送出去
ARP防禦
1、靜態ARP繫結
手工繫結/雙向繫結
Windows客戶機上的命令如下:
arp - s IP地址 MAC地址
2、ARP防火牆
自動繫結靜態ARP
主動防禦
這個說是防禦,和攻擊者差不多,對於ARP協議來講:
最後收到的那一個迴應才生效,所以防火牆就會在攻擊者發出
一個迴應後再發一個來覆蓋攻擊者的
小區別:ARP和DHCP剛好相反,DHCP以先收到的為準
而ARP以後收到的為準
3、硬體級ARP防禦
交換機支援“埠”做動態ARP繫結(配合DHCP伺服器)
:動態申請IP時就已經把你的IP MAC都記錄在對應的埠上了,若你以後發的訊息與這不匹配,則直接給你斷網!!!
或做靜態ARP繫結:即提前規劃好每個主機的靜態IP,然後將IP-MAC繫結在對應的端上。
ARP攻擊圖文詳解請看: kali中間人攻擊