交换机
一、交换机简介
交换机它是属于数据链路层的设备,数据链路层所传输的是数据帧,所封装的是MAC头部(主要有源MAC地址、目的MAC地址)差错校验。
二、交换机的工作原理
1. 当交换机收到数据时,它会检查它的目的MAC地址,然后把数据从目的主机所在的接口转发出去。
2. 流程:
当A已知B的IP地址要向B发送数据时,首先检查自己的ARP缓存表中有没有B的MAC地址,发现没有B的MAC地址时,数据帧无法完整封装,此时,ARP协议发送ARP请求报文(我是A,MAC地址是AA,谁是B,MAC地址是多少?)
理解:本机向目标主机发送通信,首先会判断目标主机是否为同一个网段,如果是通一个网段,则可以直接通过交换机进行通信,如果目标主机位不同的网段,则需要通过路由器进行,路由转发通信。
同一个网段下交换机收到目的主机的ip,会在交换机查看自己的mac地址表,在mac地址表中记录了所有MAC地址以及各端口的对应信息。
mac地址表中没有该IP目标主机对应的mac地址,就会发送arp协议,
即先发送广播请求,寻问对方ip的mac地址是谁。目的主机回复,交换机收到在mac地址进行保存。
之后双方就可以相互通信,不需要路由器。
三、单播和组播及广播
-
单播:在同一网络内,两个设备点对点的通信就是单播通信。主机一对一通信,网络中的交换机和路由器对数据只转发不进行复制。
-
组播:在同一网络可达范围内,一个网络设备与关心其数据的部分设备进行通信就是组播。主机一对一组的通讯模式,也就加入了同一个组的可以接受到组内的所有数据。
-
广播:在同一网络可达范围内,一个网络设备向本网络内所有设备进行通信就是广播。主机之间一对所有的通讯模式,网络对每一台主机发出的信号进行无条件的复制及转发。
ARP协议(地址解析协议)
arp协议原理:
arp是在区域网内进行,区域网内通过交换机进行通信。
1. 定义::Address Resolution Protocol,地址解析协议
2. 功能:工作在第三层(网络层),将一个已知的IP地址解析为MAC地址
3. 工作流程:
两个阶段 一、arp请求 , 二、arp响应
首先封装
封装源IP ,目的IP,源mac地址,目的mac地址。
主机以广播的形式发送arp请求,目的主机接收到请求后,返回arp响应报文。
ARP攻击
攻击原理:
-
伪造ARP应答报文,向被攻击主机响应虚假的MAC地址
-
当 进行转发,由于虚假的MAC地址不存在,所以造成被攻击主机无法访问网络。
实施ARP攻击:
一、 环境
1、kali Linux
安装一个arpspoof工具
2、Win10或者安卓手机
· 被攻击主机
注意:真实环境下kali应该配置成桥接模式
然后重启网卡
命令: systemctl restart networking //重新获取ip
二、kali的配置
-
kali Linux系统是基于debian Linux系统,采用deb包管理方式,可以使用apt源的方式进行直接从源安装
-
命令: apt-get install 软件包
这里安装上dsniff
命令:
apt-get -y install dsniff
//dsniff是一系列用于网络审计和渗透测试的工具。
arpspoof 即arp欺骗工具是其中的一种
如果安装不了则先更新安装源,记得先打个快照,防止更新完后软件无法正常使用。
命令:
apt-get update
三、使用命令攻击
命令:
arpspoof -i 网卡 -t 目标的ip -r 伪装i的p
// -t表示受害者的ip,-r表示伪装的ip
实验结果:
攻击完成发现目标无法正常通信。
arp欺骗:
arp攻击来说很容易被发现,如果同样的环境其他设备正常通信,比尔就可能发现自己被攻击了。
由此arp欺骗出现了。
原理:
伪造ARP应答报文,向被攻击主机和网关响应真实的MAC地址。
进攻过程:
改良一下arp做法
-
kail开启IP转发功能,使流量能正常传递。
命令:
echo 1 > /proc/sys/net/ipv4/ip_forword
//这里1代表开启 ,0代表关闭
- 开始arp欺骗
arpspoof -i 网卡 -t 攻击目标的ip 路由器IP地址
arp欺骗过程中可以
使用wireshark抓取http或者https流量,捕捉到对方的url请求报文
访问该url,可以查看对方刚刚访问的图片。
ARP缓存表:
windows命令
arp -a //查看当前电脑里的arp缓存
arp -d //清空缓存表
arp -s //绑定arp
防御:
方式一:静态ARP绑定
arp缓存表上绑定所有的设备mac地址(进行ARP绑定防止ARP攻击或欺骗)
命令:
第1种:
步骤1. netsh interface ipv4 show interfaces /显示接口信息
/interface 表示描述:设置网卡的IP地址以及网关
通过上面命令查找出网卡对应的idx
步骤2.
netsh -c “interface ipv4” add ne idx值 ip地址 mac地址
/绑定完成
删除绑定
如果不要绑定了可以删除绑定:
命令: netsh -c “interface ipv4” delete ne ipx值
arp -s IP MAC #ARP静态绑定//交换机与路由器
方式二:防火墙
这里实验使用360安全卫士
安装360卫士,搜索流量,点击开启局域网保护.
补充:除了软件外还有 硬件级ARP防御,采用企业级管理型交换机
总结
-
掌握ARP协议的工作原理与流程;
-
了解利用ARP攻击/欺骗的思路、了解防御ARP攻击/欺骗的思路。