第四章 ARP欺骗攻击与防御

ARP协议（地址解析协议）
ARP用于在以太网中获取某一IP地址对应的节点MAC地址

以广播的方式工作，解析范围只限于本地网络（即在同一网段中）

ARP缓存表
在每台安装有TCP/IP的主机里都有一个ARP表，用来记录与该主机处在同一网络中的其它主机的IP地址与MAC地址之间的对应关系。

执行arp -a命令可以查看ARP缓存表。

缓存表中的记录默认是动态的，被设置了2分钟的自动老化时间。

执行arp -d命令可以删除所有或者是指定的记录。

主机A与同一网络中的主机B的通信过程
主机A检查自己的ARP缓存表中是否有与主机B的IP地址相对应的MAC地址

有，就以B的MAC地址封装数据帧，然后发送出去。

没有，主机A以广播方式发送ARP Request数据帧，查询主机B的MAC地址。

主机B以单播形式向主机A发回ARP Reply数据帧，同时更新缓存表。

主机A收到主机B的ARP响应数据帧后，，据此更新ARP缓存表，然后按正确的MAC地址向主机B发送信息。

主机A与不同网络中的主机C的通信过程
主机A要解析的并非是主机的C的MAC地址，而是网关192.168.1.1所对应的MAC地址。

主机C要回复主机A，它要解析的也是它的默认网关192.168.2.1所对应的MAC地址。

一台主机如果要与不同网段中的主机进行通信，那么它必须要通过ARP解析出默认网关的MAC地址。

ARP扫描
Nmap的sP选项，以ping方式进行扫描，防火墙有可能过滤ping包。

nmao在用sP方式扫描时，会自动采用ARP扫描，向网络中发送ARP Request广播。

ARP数据不可能被防火墙过滤，所以这种扫描方式非常准确。

Nmap -sP 192…168.4.0/24 -oG -

ARP欺骗
ARP协议是建立在信任局域网内所有结点的基础上的，如果一台主机并没有发出ARP请求，它也仍会接收别的主机主动向其发送的ARP响应。

攻击方需要伪ARP reply数据帧

攻击机主动、反复地向目标主机或网关发送ARP响应，这各占动作称ARP毒化（ARP poison）

欺骗主机
目标是主机，目的是伪造网关的MAC地址

伪造的ARP reply

双向欺骗
攻击方分别向主机和网关发送伪造的ARP响应

攻击机需要具有路由转发功能

攻击者在攻击机上可以对流量进行控制和查看，从而达到控制流量或是获取机密信息的目的，这种攻击模式被称为“中间人攻击”。

网络执行官是利用的ARP原理使被攻击的电脑无法上网，使该电脑无法找到网关的MAC地址

SPAN，可以把交换机上某些被监控端口的数据流复制一份，发送给连接在监控端口上的流量分析设备，比如网络日志系统等

将交换机4、5