一、广播与广播域概述
1、广播与广播域
- 广播:将广播地址作为目的地址的数据帧
- 广播域:网络中能接收到同一个广播所有节点的集合
2、MAC地址广播
- 广播地址为FF-FF-FF-FF-FF-FF
3、IP地址广播
- 255.255.255.255
- 广播IP地址为IP地址网段的广播地址,如192.168.1.255/24
二、ARP协议概述
1、什么是ARP协议
- Address Resolution Protocol,地址解析协议
- 将一个已知的IP地址解析成MAC地址
2、ARP协议
- IP地址解析为MAC地址
pc1发送数据给pc2,查看缓存没有pc2的MAC地址
pc1发送ARP请求消息(广播)
所有主机收到ARP请求消息后,pc2回复ARP应答(单播应答),其他主机丢弃
pc1将pc2的MAC地址保存在缓存中,发送数据
3、ARP相关命令
- Windows系统中的ARP命令
arp -a:查看ARP缓存
arp -d:清除ARP缓存
arp -s:ARP绑定
4、ARP原理演示
- 需求分析
pc1和pc2第一次通信
- 步骤
使用ipconfig /all 查看pc1和pc2的MAC地址
用“arp -a”查看ARP缓存
在pc1上ping pc2后,再用“arp -a”查看ARP缓存表
5、ARP攻击原理:目的是断网
- 欺骗其他所有计算机
- 欺骗被攻击计算机
6、ARP欺骗原理:目的是窃取信息
- ARP欺骗网关
- ARP欺骗主机
7、ARP攻击与欺骗关系:
8、ARP协议没有验证机制
9、ARP攻击者通过发送虚假伪造的arp报文对受害者进行ARP缓存投毒
三、ARP攻击防御
1.静态ARP绑定
手工绑定/双向绑定
windows客户机上:
arp -s 10.1.1.254 00-01-2C-A0-E1-09
arp -a 查看ARP缓存
2.ARP防火墙
不建议使用,会增加网关负担
自动绑定静态ARP
主动防御
3.硬件级ARP防御
交换机支持“端口”做动态ARP绑定(配合DHCP服务器)
或做静态ARP绑定
如:
conf t
ip dhcp snooping
int range f0/1 - 48 :批量配置端口
switch(config-if-range)#