ARP协议
1.地址解析协议(简单说就是到处问这个ip是什么mac)
2.作用:将IP解析为MAC地址
3.原理:1)发送ARP广播请求
ARP发报内容:我是10.1.1.1 我的MAC:AA
谁是10.1.1.3 你的MAC: ?
2)接收ARP单播应答
4.ARP共计或欺骗的原理是:
通过发送伪造的虚假的ARP报文(广播或者单播),来实现攻击或者欺骗!
如 虚假报文的MAC是伪造的不存在的,实现ARP攻击,结果为中断通信/断网
如 虚假报文的MAC是攻击者自身的MAC地址,实现ARP欺骗,结果可以监听,窃取,篡改,控制流量,但不会中通信!
5.ARP协议没有验证机制
(所以需要防御攻击)
6.ARP攻击者通过发送虚假伪的ARP报文对受害者进行ARP缓存投毒
7.路由器的工作原理(很重要)
1)一个帧到达路由器,路由器首先检查目标MAC地址是否属于自己,如果不是则丢弃,如果是则解封装并将IP包送到路由器内部
2)路由器检查IP包头中的目标IP,并匹配路由表,如匹配失败,则丢弃,并向源IP回馈错误信息,如匹配成功,则将IP包路由到出接口。
3)封装帧,首先将出接口的MAC地址作为源MAC封装号,然后检查ARP缓存表,检查是否有下一跳的MAC地址,如有将提取并作为怒表MAC地址封装到帧中,如没有则发送ARp广播请求下一跳的MAC,并获取到对方的 MAC地址,再缓存记录,并封装帧,最后将帧发送出去。
ARP攻击的防御:
1.静态ARP绑定
手工绑定/双向绑定
windows客户机上:
arp -s 10.1.1.254 xx-xx-xx-xx-xx-xx
arp -a 查看ARP缓存表
2.ARP防火墙
自动绑定静态ARP
主动防御
3.硬件级ARP防御:
交换机支持“端口”做动态ARP绑定(配合DHCP服务器)
或做静态ARP绑定
如:
conf t
ip dhcp snooping
int range f0/1 - 48 //组命令(把1-48端口想成一个组统一命令)
敲需要的命令
扫一扫
2485
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
