ARP攻击、欺骗及防御

一、广播与广播域概述

1、广播与广播域

广播：将广播地址做为目的地址的数据帧。

广播域：网络中能接收到同一个广播所有节点的集合。

2、MAC地址广播

广播地址为FF-FF-FF-FF-FF-FF

3、IP地址广播

1）255.255.255.255

2）广播IP地址为IP地址网段的广播地址，如192.168.1.255/24

广播域越小越好。

交换机隔离不了广播域，路由器可以隔离广播域。

二、ARP协议概述

Address Resolution Protocol，地址解析协议

 作用：将一个已知的IP地址解析成MAC地址。

靠广播实现，只能在内网，内网攻击。

 

 只有开机才生效，缓存是在内存中。

原理：

 1)发送ARP广播请求
   ARP报文内容：我是10.1.1.1  我的mac：AA
                            谁是10.1.1.3  你的mac：?

2)接收ARP单播应答

当判断目标ip与自己在同一网段的时候，会直接发送arp广播报文，去请求他的mac地址。

如果判断目标ip与自己不在同一网段，还是会发送arp广播报文，但是问不是外网那个网段的mac地址，问的是，我是10.1.1.1，我的mac是aa，谁是网关，谁是10.1.1.254，请把你的mac发送给我。

三、ARP攻击和欺骗

 1、ARP攻击或欺骗的原理是：

通过发送伪造虚假的ARP报文(广播或单播)，来实现的攻击或欺骗。

如虚假报文的mac是伪造的不存在的，实现ARP攻击，结果为中断通信/断网。

如虚假报文的mac是攻击者自身的mac地址，实现 ARP欺骗，结果可以监听、窃取、篡改、控制流量但不中断通信！

2、ARP协议没有验证机制

3、ARP攻击者通过发送虚假伪造的arp报文对受害者进行ARP缓存投毒

4、

Arp攻击中断通信，断网，通过伪造虚假的arp报文，以及虚假的mac地址，通过arp应答报文

Arp广播报文也可以攻击，伪造自己ip是254，一个假的mac，广播一下，局域网的其他的电脑都把254以及假的mac记录到缓存中，以至于局域网内所有人没法上网。

arp攻击是通过发送虚假的广播或者是应答报文，来实现让你断网。

arp欺骗的目的是截获数据。

 

两个windows软件：1、

                                2、

 

 

 四、路由原理

凡是可以配ip的，才有mac地址。不能配ip的，没有mac地址。

 路由器的工作原理：

1、一个帧到达路由器，路由器首先检查目标MAC地址是否是自己，如果不是则丢弃，如果是则解封装，并将IP包送到路由器内部。

2、路由器检查IP包头中的目标IP，并匹配路由表，如果匹配失败，则丢弃，并向源IP回馈错误信息，如匹配成功，则将IP包路由到出接口。

3、封装帧，首先将出接口的MAC地址作为源MAC封装好，然后检查ARP缓存表，检查是否有下一跳的 MAC地址，如有，将提取并作为目标MAC地址封装到帧中，如没有，则发送ARP广播请求下一跳的MAC，并获取到对方的mac地址，再记录缓存，并封装帧，最后将帧发送出去。

五、ARP攻击防御

1、静态ARP绑定

手工绑定/双向绑定

windows客户机上:
arp  -s  10.1.1.254   00-01-2c-a0-e1-09                            -s 的s是静态的意思。

arp  -a   查看ARP缓存表

 2、ARP防火墙

自动绑定静态ARP

主动防御

3、硬件级ARP防御

交换机支持“端口”做动态ARP绑定(配合DHCP服务器)
或做静态ARP绑定

如：
conf t
ip dhcp snooping
int range f0/1 - 48
switch(config-if-range)#