引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客(课程笔记)的形式去学习它,虽然写博客会让我多花几倍的时间去学习它,但是当我完成一篇博客所获得的成就感和你们对于我的认同感,让我很满足,能够鼓励我一天天的坚持下去,也希望和我一起学习本期视频的"同道"们也能给一直坚持下去。我们大家一起加油。由于作者本身也是网络信息安全小白,大部分知识点都是初次接触,出现对其理解不深入,不完整,甚至也会出现错误有问题的地方,希望大家谅解、留言提出指正,同时也欢迎大家来找我一起交流学习!!!
往期博客:
[网络安全学习篇1]:windowsxp、windows2003、windows7、windows2008系统部署(千峰网络安全视频笔记)
[网络安全学习篇2]:IP详解及简单的DOS命令(千峰网络安全视频笔记 2 day)
[网络安全学习篇3]:批处理、病毒、用户与组管理、破解系统密码(千峰网络安全视频笔记 3 day)
[网络安全学习篇4]:NTFS安全权限、文件共享服务器(千峰网络安全视频笔记 4 day)
[网络安全学习篇5]:DHCP部署与安全、DNS部署与安全(千峰网络安全视频笔记 5 day)
[网络安全学习篇6]:WEB服务器和FTP服务器(千峰网络安全视频笔记 6 day)
[网络安全学习篇7]:域(千峰网络安全视频笔记 7 day)
[网络安全学习篇8]:PKI(千峰网络安全视频笔记 8 day)
[网络安全学习篇9]:渗透测试(千峰网络安全视频笔记 9 day)
[网络安全学习篇10]:扫描技术、暴力破解工具(千峰网络安全视频笔记 10 day)
[网咯安全学习篇11]:OSI与TCP/IP协议(千峰网络安全视频笔记 11 day)
[网络安全学习篇12]:数据链路层及交换机的学习(千峰网络安全视频笔记 12 day)
[网络安全学习篇13]:IP包头分析与路由原理及实验(千峰网络安全视频笔记 13 day)
[网络安全学习篇14]:ARP协议、ARP欺骗与攻击(千峰网络安全视频笔记 14 day)(本篇)
下期博文:
[网络安全学习篇15]:VLAN、Trunk (千峰网络安全视频笔记 15 day)
目录
6、ARP攻击者通过发送虚假伪造的ARP报文对受害者进行ARP缓存投毒
ARP
广播与广播域概述
广播与广播域
广播:将广播地址作为目的地址的数据帧
广播域:网络中能接收到同一个个广播所有节点的集合
MAC地址广播
广播地址:FF-FF-FF-FF-FF-FF
IP地址广播
1、255.255.255.255
2、广播IP地址为IP地址网段的广播地址,如192.168.1.255/24
ARP协议概述
地址解析协议
将一个已知的IP地址解析成MAC地址
ARP:
1、地址解析协议
2、作用:
将IP解析为MAC地址
3、原理:
1)发送ARP广播请求
ARP报文内容:
我是10.1.1.1 我的MAC:AA
谁是10.1.1.3 你的MAC?
2)接受ARP单播应答
4、ARP攻击或欺骗的原理:
通过发送伪造虚假的ARP报文(广播或单播),来实现攻击或欺骗
如虚假报文的MAC是伪造的不存在的,实现ARP攻击,结果为终端通信/断网
如虚假报文的MAC是攻击者自身的MAC地址,实现ARP欺骗,结果可以监听、窃取、篡改、控制流量,但不中断通信!
5、ARP协议没有验证机制
6、ARP攻击者通过发送虚假伪造的ARP报文对受害者进行ARP缓存投毒
7、路由器的工作原理
1)一个帧到到达路由,路由器首先检查目标MAC地址是否自己,如果不是自己则丢弃,如果是则解封装,并将IP包送到路由器内部
2)路由器检查IP包头中的目标IP,并匹配路由表,如果匹配失败,则丢弃,并向源IP回馈错误信息,如果匹配成功,则将IP包路由到出接口.
3)封装帧,首先将出接口的MAC地址作为源MAC地址封装好,然后检查ARP缓存表,检查是否有下一跳的MAC地址,如有,将提取其并作为目标MAC地址封装到帧中,如没有,则发送ARP广播请求下一跳的MAC地址,并获取对方的MAC地址,再记录缓存,并封装帧,最后将帧发送出去.
ARP攻击防御
1、静态ARP绑定
手工绑定/双向绑定
Windows客户机上:
arp -s 10.1.1.254 00-20-2c-a0-e1-o9
2、ARP防火墙
自动绑定静态ARP
主动防御
3、硬件级ARP防御
交换机支持”端口“做动态ARP绑定(配合DHCP服务器)
或做静态ARP绑定
ARP攻击详情参看文章链接:[网络安全学习篇22]kali中间人攻击(千峰网络安全视频笔记 p111-p113)
参考文献: