分析ARP攻击与欺骗
1.广播与广播域
广播:将广播地址作为目的地址的数据帧
广播域:网络中能接收到同一个广播所有的节点的节点。
广播域越小越好,不然广播信息太多,造成卡顿。
MAC地址广播-广播地址为:FF-FF-FF-FF-FF-FF
IP地址广播-广播地址:255.255.255.255
广播IP地址为IP地址网段的广播地址,如192.168.1.255/24.主机位全1
交换机不能隔离广播域,而路由器可以。
2.ARP 协议概述
地址解析协议:将一个已知的IP地址解析成MAC地址。
3.Windows系统中ARP命令
arp -a:用于看arp缓存表的arp缓存
arp -d: 清除ARP缓存
arp -s: ARP绑定
4.ARP协议原理:
发送方:发送ARP广播请求
ARP报文内容:我是10.1.1.1 MAC为AA.谁是10.1.1.3,MAC为?
接收方:接收ARP单播应答
5.ARP协议过程——IP地址解析为MAC地址
-PC1发送数据给PC2,查看缓存没有PC2的MAC地址
-PC1发送ARP请求消息(广播)
-所有主机收到ARP请求消息
-PC2回复ARP应答(单播)
-其他主机丢弃
-PC1将PC2的MAC地址保存至缓存中,发送数据
6.ARP攻击或欺骗的原理是:通过发送伪造虚假的ARP报文(广播或单播)来实现的攻击或欺骗
ARP攻击者通过发送虚假伪造的arp报文对受害者进行ARP缓存投毒。
如虚假报文的mac是伪造的不存在的,则实现ARP攻击,目的中断通信,断网。
如虚假报文的mac是攻击者自身的MAC地址,则实现ARP欺骗,目的截获数据,监听,篡改,控制数据。是中间人,但不中断通信。
ARP攻击报文:应答和广播报文,
欺骗其他所有计算机,为广播报文。
欺骗被攻击计算机,为应答报文。
ARP应答:谁后到听谁的,与DHCP不一样,DHCP是谁先听谁的。
目标IP和自己在同一网段,直接用ARP询问。
目标IP和自己不在同一网段,ARP请求先询问网关,
ARP被欺骗和攻击的原因:ARP协议没有验证机制,
7.ARP攻击防御:
静态ARP绑定
手工绑定/双向绑定:ARP缓存表关机就没了,麻烦。
windows客户机上:arp -s 10.1.1.254 00-01-2c-a0-e1-09
arp -a
ARP防火墙
自动绑定静态ARP,主动防御。采用的是黑客手段。
禁止使用,客户机开启防火墙后,就实现了静态ARP绑定,防火墙不停的向网关发送自己的地址,防止ARP攻击。
缺点:网络负担,公司员工若是每台电脑都开启ARP防火墙,而防火墙不停的向网关发包,网关…
硬件级ARP防御:
交换机支持端口做动态ARP绑定(配合DHCP服务器),或做静态ARP绑定。
8.命令:
con t
ip dhcp snooping //开启DHCP监听
int range f0/1 - 48
switch(config-if-range)# no shutdown