广播与广播域
一广播:将广播地址做为目的地址的数据帧
一广播域:网络中能接收到同一个广播所有节点的集合
MAC地址广播
—广播地址为FF-FF-FF-FF-FF-FF
IP地址广播
1.255.255.255.255
2.广播IP地址为IP地址网段的广播地址,如192.168.1.255/24
广播域越小越好
ARP协议概述
什么是ARP协议
Address Resolution Protocol,地址解析协议
将一个已知的IP地址解析成MAC地址
过程
同网段
发送端发送ARP广播报文请求目标的MAC地址,接受端接收后给予回复
不同网段
发送端发送ARP广播报文请求网关的MAC地址,路由器收到后回复,之后将包发到目标
ARP报文内容:
我是10.1.1.1我的mac:AA
谁是10.1.1.3你的mac:?
ARP缓存
主要的目的是为了避免重复发送ARP请求
ARP命令
arp -a 查看ARP缓存表
arp -d 清除ARP缓存
arp -s ARP绑定
ARP攻击
通过发送伪造虚假的ARP报文(广播或单播)来实现的攻击或欺骗
如虚假报文的mac是伪造的不存在的,实现ARP攻
击,结果为中断通信/断网
如虚假报文的mac是攻击者自身的mac地址,实现
ARP欺骗,结果可以监听、窃取、篡改、控制流量
但不中断通信!
ARP协议没有验证机制
交换机没有mac地址
路由器的工作原理
1)一个帧到达路由,路由器首先检查目标MAC地址是否是自己,如果不是则丢弃,如果是则解封装,并将IP包送到路由器内部。
2)路由器检查IP包头中的目标IP,并匹配路由表,如果匹配失败,则丢弃,并向源IP回馈错误信息,
如匹配成功,则将IP包路由到出接口。 3)封装帧,首先将出接口的MAC地址作为源MAC封装好,然后检查ARP缓存表,检查是否有下一跳的MAC地址,如有,将提取并作为目标MAC地址封装到帧中,如没有,则发送ARP广播请求下一跳的MAC,并获取到对方的mac地址,再记录缓存,并封装帧最后将帧发送出去
ARP攻击防御:
1.静态ARP绑定
手工绑定/双向绑定
windows客户机上:
arp-s 10.1.1.254 00-01-2c-a0-e1-09
arp -a 查看ARP缓存表
2.ARP防火墙
自动绑定静态ARP
主动防御
3.企业级交换机防御 交换机支持端口做动态ARP绑定(配合DHCP服务器)
或做静态ARP绑定
实例
kali攻击win10
kali安装arpspoof
kali linux系统是基于debian linux系统,采用的是deb包管理方式,可以使用apt源的方式进行直接从源安装
1、配置源
2、安装工具
dsniff工具
apt-get install dsniff
arp攻击
eth0:选择网卡
后两个ip地址分别为被攻击的主机ip和网关
arp中间人攻击
kali命令行输入
echo 1 >> /proc/sys/net/ipv4/ip_forward
可以使用工具driftnet,安装方法同上
driftnet -i eth0 抓取被攻击主机获取的图片