ARP--你还记得曾经的‘她’吧?

于 2024-09-28 06:00:00 发布
阅读量347 收藏 14
点赞数 12
分类专栏: 网络安全 # kali # 内网安全 文章标签: 网络 服务器 网络安全 安全 web安全 网络攻击模型 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_80857229/article/details/142599604
版权
网络安全 同时被 3 个专栏收录
19 篇文章 0 订阅
订阅专栏
内网安全
17 篇文章 3 订阅
订阅专栏
kali
11 篇文章 0 订阅
订阅专栏

免责声明:本文仅做分享! 

目录

知识点

经典多路访问网络

两种地址

逻辑到物理地址的解析协议

ARP

介绍

工作原理

一、发送ARP请求

二、接收并回应ARP请求

三、学习并记录MAC地址

四、完成数据传输

发现目标

攻击

原理​编辑

arpspoof

双向劫持

防御

windows:

linux:

设备:

 

知识点

经典多路访问网络

以太网(支持广播的多路访问网络)

多点帧中继(非广播的多路访问网络)

DMVPN的多点GRE(非广播多路访问网络)

两种地址

逻辑地址 (一般是IP)

物理地址 (MAC/DLCI/全局IP)

逻辑到物理地址的解析协议

以太网(ARP)

帧中继(Frame Relay Inverse ARP)

MGRE(NHRP)

(自动/手动)

注意:仅仅知道目的的逻辑地址,不知道物理地址,设备不会向网络发送任何数据帧

ARP

介绍

“Address Resolution Protocol”(地址解析协议)

在以太网中,将IP地址解析成MAC地址。 --数据的传输所依懒的是MAC地址而非IP地址.

ARP(Address Resolution Protocol,地址解析协议)是TCP/IP协议栈中的一个重要组成部分,其工作原理主要涉及将网络层(IP层)提供的32位IP地址解析为数据链路层(MAC层)使用的48位物理地址,即MAC地址。

工作原理

一、发送ARP请求

  1. 需求产生:当源主机需要与目的主机通信时,如果源主机的ARP缓存表中没有目的主机的MAC地址,源主机就会发送一个ARP请求。

  2. 请求构造:

    ARP请求是一个广播包, -- ARP报文:

    • 发送方硬件地址(Sender Hardware Address):发送ARP请求的设备的MAC地址。

    • 发送方协议地址(Sender Protocol Address):发送ARP请求的设备的IP地址。

    • 接收方硬件地址(Target Hardware Address):在ARP请求中通常为空,表示这是一个广播请求。

    • 接收方协议地址(Target Protocol Address):目标设备的IP地址。

  3. 广播发送:这个ARP请求会在本地网络段内广播,请求目的主机回应其MAC地址。

二、接收并回应ARP请求

  1. 请求接收:当网络上的所有设备(包括目的主机)接收到ARP请求后,会检查请求中的目的IP地址是否与自己匹配。

  2. 匹配与回应:

    如果目的主机的IP地址与请求中的目的IP地址匹配,目的主机就会发送一个ARP响应

    ARP响应 是一个点对点的数据包,包含以下信息:

    • 源硬件地址:目的主机的MAC地址。

    • 源协议地址:目的主机的IP地址。

    • 目标硬件地址:发送ARP请求的设备的MAC地址。

    • 目标协议地址:发送ARP请求的设备的IP地址。

  3. 发送响应:目的主机将ARP响应直接发送给源主机。

三、学习并记录MAC地址

  1. 缓存更新:源主机收到ARP响应后,会从响应中提取目的主机的MAC地址,并将其与目的主机的IP地址一起存储在ARP缓存表中。

(动态/静态)

  1. 后续使用:在后续的通信中,源主机可以直接使用存储在ARP缓存表中的MAC地址,而不需要再次发送ARP请求。

四、完成数据传输

  1. 数据封装:源主机在获得目的主机的MAC地址后,就可以将数据封装成以太网,并使用目的主机的MAC地址作为目标地址发送出去。

  2. 数据传输:封装好的数据帧通过物理网络传输到目的主机,完成整个通信过程。

发现目标

前提还是要在局域网中,such as 连着同一个WiFi

然后用 nmap 扫一下 --> 发现目标 (多角度干)

...等等工具

攻击

局域网 流量 AK 中间人

工作组&局域网-ARP欺骗-攻击防御&单双向_arp欺骗双向-CSDN博客

工具:arpspoof ettercap driftnet看图片 bettercap登录密码 钓鱼 挂马

alandau/arpspoof: A simple ARP spoofer for Windows (github.com)

apt-get install dsniff

原理

(注意攻击前后MAC地址的变化)

arpspoof

apt-get install dsniff

arpspoof -t 192.168.49.141 192.168.49.2 -i eth0
               靶机IP       靶机网关      网卡接口

(强度不够,直接多来几个窗口...)

---查看靶机arp动态缓存改变,上不了网:

双向劫持

转发,流量放行,让目标能上网,不易察觉,还可监控其流量。

sysctl -w net.ipv4.ip_forward=1  
​
echo 1 > /proc/sys/net/ipv4/ip_forward

防御

windows:

arp -a
netsh i i show in
#记录网卡的idx值
#修改命令: 
netsh -c i i add neighbors 14 192.168.127.2 00-50-56-e3-44-05
netsh -c i i add neighbors <idx值> <靶机网关IP> <靶机MAC地址>
​
arp -s 网关IP 网关MAC

linux:

arp 
arp -i eth0 -s IP MAC
​
​
清除arp缓存:
sudo arp -d <IP地址>
sudo ip neigh flush all

设备:

ARP监控:

1.使用ARP监控,管理员可以指定交换机的端口为信任和非信任端口:

( 互联的信任,不互联的检查一下)

信任端口可以转发任何ARP信息

非信任端口的ARP消息要进行ARP检测验证

2.交换机执行如下的ARP验证:

为一个静态的IP地址配置一个静态ARP访问控制列表 (静态ARP监控功能)

为DHCP指派的IP地址引I用DHCPsnooping绑定数据库(动态ARP监控功能)

1.如果使用DHCP,确认DHCP Snooping技术已经被激活,并且已经完全填充数据库。

2.指定某端口为受信任的端口,也就是接受这个接口上的ARP欺骗威胁。

3.指定其他端口为非信任的端口。

4.在每一个端口上调整ARP限速。

5.配置一个ARP访问控制列表,静态映射IP到MAC。

6.调整error-disable行为。

7.在特定VLAN中启用ARP Inspection功能。

在网关绑定主机MAC与IP地址

使用ARP防火墙

金灰
关注
专栏目录
网络编程-arp协议
└┼﹡keep it simple,stupid■┐*…
12-07 182
介绍arp地址解析协议,它的作用是在ipv4地址和底层网络硬件地址之间的转换,提供从网络层地址到相关硬件地址的动态映射。格式arp帧格式如下: 头14个字节是以太网帧,它的前2个字段DST和SRC分别是目的以太网地址和源以太网地址。如果要发送arp包,则目的以太网地址DST必需设置成ff:ff:ff:ff:ff:ff值。Length or Type字段必需是0x0806。 ...
Windows - ARP 项添加失败 拒绝访问
Ailson Jack的专栏
04-09 1万+
By: Ailson Jack Date: 2022.04.09 个人博客:http://www.only2fire.com/ 本文在我博客的地址是:http://www.only2fire.com/archives/145.html,排版更好,便于学习,也可以去我博客逛逛,兴许有你想要的内容呢。 在Windows 10下执行命令: arp -s 192.168.1.100 00-0a-35-00-01-23 会提示:ARP 项添加失败: 拒绝访问,如下图所示: 这里我们可以通过下面的操作来添加ARP项。
arp -a命令的通俗解释
热门推荐
foreverhuylee的专栏
11-20 3万+
ARP -A,查询系统中缓存的ARP表。ARP表用来维护IP地址与MAC地址的一一对应。 比方说,某推拿室总有30名服务员,为了方便管理,服务员都编了号,由01编到30。客人们都只记得服务员的编号。我去这个桑拿房,因为25号技术特好,我就对前台的说:我要25号来给我做推拿。这时前台的管理人员脑子里有一张表,知道25号具体是哪个服务员,于是叫了那个服务员来给我做推拿。当然,为了防止忘记,抽屉里还
CTFShow-WEB入门篇--信息搜集详细Wp_ctfshow web
2401_84297944的博客
04-28 964
F12。
小米路由器ARP绑定2021-09-08测试可用
a1751413580的博客
09-08 3481
前面内容和教程无关,可以直接跳到正文 小米路由器有DHCP静态IP分配功能,但并不是ARP绑定 导致电脑关机后路由器的ARP缓存表里面只有IP地址没有MAC地址信息,网络唤醒就失效了。 我用的是小米路由器3G,之前是刷了OpenWrt,发现有BUG就换成了Padavan 但是玩游戏会掉线,因为Padavan的功能确实很多 用的东西比较多,像VPN服务器、FTP服务器和Smaba所以就一直没换固件 游戏掉线的问题搞得有点烦,把开启的这些全关,U盘拔下来也还是会掉线 不知道怎么回事内存占用很高,然
ARP
YZJincsdn的博客
06-25 440
记得数据链路层的以太网的协议中,每一个数据包都有一个MAC地址头么?我们知道每一块以太网卡都有一个MAC地址,这个地址是唯一的,那么IP包是如何知道这个MAC地址的?这就是ARP协议的工作。  ARP(地址解析)协议是一种解析协议,本来主机是完全不知道这个IP对应的是哪个主机的哪个接口,当主机要发送一个IP包的时候,会首先查一下自己的ARP高速缓存(就是一个IP-MAC地址对应表缓存),如果查询...
局域网arp攻击_python制作ARP欺骗工具
weixin_40005542的博客
10-24 457
前面给大家做一些扫描工具,今天小菜给大家带来了ARP欺骗工具。当然啦,工具实现起来也是几行代码呢!(是不是依旧如此简单)。这个可以让目标器断网,还可以把数据包转到自己机器上,自己机器开启转发数据包功能,这样就可以嗅探目标器的数据喽。大家不要那这个干坏事儿呢!!!图1是运行截图,当然啦网卡信息可以自己去掉!我用抓包工具抓到了自己手机请求的数据包呢。图10x01 ARP欺骗原理(这个还是需要普及一下,...
eNSP学习——理解ARP及Proxy ARP
TXFBAP的博客
01-22 1603
eNSP学习——理解ARP及Proxy ARP
图解ARP协议(三)ARP防御篇-如何揪出“内鬼”并“优雅的还手”?
单片机菜鸟哥的博客
12-17 1460
一、ARP防御概述通过之前的文章,我们已经了解了ARP攻击的危害,黑客采用ARP软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网攻击、流量被限、账号被窃的危险。由于攻击门槛非常低,普通人只要拿到攻击软件就可以扰乱网络秩序,导致现在的公共网络、家庭网络、校园网、企业内网等变得脆弱无比。 所以,如何进行有效的ARP防御?作为普通用户怎么防御?作为网络/安全管理员又怎么防御?...
Examples-pcap.rar_pcap_winpcap arp
07-15
标题中的"Examples-pcap.rar_pcap_winpcap arp"表明这是一个关于使用C++编程语言,通过WinPcap库抓取ARP(Address Resolution Protocol...在学习和实现这个过程时,你还将深入理解网络协议、数据包结构和C++编程实践。
elmocut:适用于Windows的Eye Candy ARP Spoofer-开源
05-07
**elmocut:Windows平台的视觉盛宴ARP欺骗工具** **一、ARP欺骗基础理解** ARP(Address Resolution Protocol)协议是用来解决IP地址与物理MAC地址映射的问题,它在局域网(LAN)中起着至关重要的作用。然而,ARP...
kubernetes网络(一)之calico详解
鲜少伟的博客
09-22 1161
本文介绍Kubernetes最流行的网络解决方案calico。
BGP相关知识笔记
Richardlygo的博客
09-23 1212
整个网络规模扩大,路由数量进一步增加,路由表与LSDB规模变大,路由收敛变慢,设备性能消耗加大为此在AS之间专门使用BGP协议进行路由传递,相较于传统的IGP路由协议:BGP基于TCP,只要能够建立TCP连接即可建立BGP只传递路由信息,不会暴露AS内的拓扑3。
C++ 解析 RDP 协议
道亦无名
09-22 370
远程桌面协议(Remote Desktop Protocol, RDP)是微软开发的一种网络通信协议,用于提供远程桌面会话服务。它允许用户通过网络连接至远程计算机,并像使用本地计算机一样操作远程系统。本文档将详细探讨在C++环境中如何解析RDP协议,涵盖协议层次解析、连接过程管理、数据加密解密、功能数据处理、错误与异常处理以及协议版本适配等方面。
网络安全学习路线图(2024版详解)
最新发布
baimaozi008的博客
09-27 656
近期,大家在网上对于网络安全讨论比较多,想要学习的人也不少,但是需要学习哪些内容,按照什么顺序去学习呢?其实我们已经出国多版本的路线图,一直以来效果也比较不错,本次我们针对市场需求,整理了一套系统的路线图,供大家学习参考。希望大家按照路线图进行系统学习不仅可以的完成上岸,还能够系统化学习,提升自己的后期竞争力。
【计算机网络】--URL统一资源定位符
weixin_65728773的博客
09-26 241
一个网站地址实例scheme——定义因特网服务的类型,常见的类型是httphost——定义域主机(http的默认主机是www)domain———定义因特网的域名,例如,jinyun.fun:port——定义主机上的端口(http默认端口号是80)path——定义服务器上的路径(如果省略,则文档必须位于网站的根目录)filename——定义文档/资源的名称。
网络编程】网页的显示过程
YQ20210216的博客
09-22 348
首先我们知道网页经过网络总共有应用层,传输层,网络层,数据链路层,物理层。
虚拟机开启网络代理设置,利用主机代理访问国外资源
09-24 379
有时候需要访问一些镜像网站拉取安装包或是学习资料,由于国内外网络环境差异和网络安全的问题,总会被阴拦。下文来说一下虚拟机centos7如何通过连接主机的代理软件来访问国外资源。
reset arp 192.168.20.70
08-24
"reset arp 192.168.20.70" 这个命令通常是用来清除计算机ARP缓存表中特定IP地址对应的数据。ARP(Address Resolution Protocol)是一个网络协议,用于将IP地址转换为物理MAC地址,以便于设备之间的通信。当你想要清除对某个IP地址(如192.168.20.70)的缓存记录,可能是为了更新路由信息、解决IP冲突或者测试网络连通性。 请注意,这个操作通常在命令行界面或者终端环境下,针对的是Linux或Windows等操作系统,并且需要管理员权限才能执行。如果你是用户而非管理员,可能无法直接执行此命令。下面是几个常见的操作环境示例: 1. **Windows**: - 打开命令提示符(`cmd`),输入 `arp -d 192.168.20.70` 后按回车键。这会从本地ARP缓存中删除指定的条目。 2. **Linux/Mac**: - 打开终端,输入 `sudo arping -d 192.168.20.70` (对于Linux) 或者 `sudo dscacheutil -flushcache` (对于Mac),然后输入密码以获得超级用户权限。 执行上述操作后,记得检查网络是否能正常访问192.168.20.70,因为缓存可能已经清空,可能会触发重新学习过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值