ARP协议(地址解析协议)
ARP用于在以太网中获取某一IP地址对应的节点MAC地址
以广播的方式工作,解析范围只限于本地网络(即在同一网段中)
ARP缓存表
在每台安装有TCP/IP的主机里都有一个ARP表,用来记录与该主机处在同一网络中的其它主机的IP地址与MAC地址之间的对应关系。
执行arp -a命令可以查看ARP缓存表。
缓存表中的记录默认是动态的,被设置了2分钟的自动老化时间。
执行arp -d命令可以删除所有或者是指定的记录。
主机A与同一网络中的主机B的通信过程
主机A检查自己的ARP缓存表中是否有与主机B的IP地址相对应的MAC地址
有,就以B的MAC地址封装数据帧,然后发送出去。
没有,主机A以广播方式发送ARP Request数据帧,查询主机B的MAC地址。
主机B以单播形式向主机A发回ARP Reply数据帧,同时更新缓存表。
主机A收到主机B的ARP响应数据帧后,,据此更新ARP缓存表,然后按正确的MAC地址向主机B发送信息。
主机A与不同网络中的主机C的通信过程
主机A要解析的并非是主机的C的MAC地址,而是网关192.168.1.1所对应的MAC地址。
主机C要回复主机A,它要解析的也是它的默认网关192.168.2.1所对应的MAC地址。
一台主机如果要与不同网段中的主机进行通信,那么它必须要通过ARP解析出默认网关的MAC地址。
ARP扫描
Nmap的sP选项,以ping方式进行扫描,防火墙有可能过滤ping包。
nmao在用sP方式扫描时,会自动采用ARP扫描,向网络中发送ARP Request广播。
ARP数据不可能被防火墙过滤,所以这种扫描方式非常准确。
Nmap -sP 192…168.4.0/24 -oG -
ARP欺骗
ARP协议是建立在信任局域网内所有结点的基础上的,如果一台主机并没有发出ARP请求,它也仍会接收别的主机主动向其发送的ARP响应。
攻击方需要伪ARP reply数据帧
攻击机主动、反复地向目标主机或网关发送ARP响应,这各占动作称ARP毒化(ARP poison)
欺骗主机
目标是主机,目的是伪造网关的MAC地址
伪造的ARP reply
双向欺骗
攻击方分别向主机和网关发送伪造的ARP响应
攻击机需要具有路由转发功能
攻击者在攻击机上可以对流量进行控制和查看,从而达到控制流量或是获取机密信息的目的,这种攻击模式被称为“中间人攻击”。
网络执行官是利用的ARP原理使被攻击的电脑无法上网,使该电脑无法找到网关的MAC地址
SPAN,可以把交换机上某些被监控端口的数据流复制一份,发送给连接在监控端口上的流量分析设备,比如网络日志系统等
将交换机4、5