ARP协议与ARP欺骗原理
- 在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。MAC地址就是ARP协议获得的。其实就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
- ARP欺骗就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断
一、操作演示
- 打开ettercap
2.选择你要使用的网卡,点击"对号"。
3.我们可以查看"host list"
4.将想要欺骗的网关和受害者分别添加到"add to target 1"和"add to target 2"
5.点击"圆圈",选择"ARP poisoning spoofing"。
6.选择"sniff remote connections",然后点击"OK"。这样就配置完成,ettercap会自动开始arp欺骗。
7.打开wireshark以后,可以看到有持续不断的发出伪造ARP响应包
8.中断攻击
二、防御ARP攻击
- ARP静态绑定
PC端命令
arp -s 网关IP 网关MAC地址
缺点:贼麻烦!工作量太大!建议用在公司的的主要服务器上!
2.安装ARP防火墙
缺点:会增加网络负担!成功率并不是100%!除非已经遭受了ARP攻击,开启,否则关闭!
3.交换机上启用DAI技术
DAI技术目前在企业级的交换机都有支持!可以将ARP攻击消灭在源头!