ARP协议、ARP欺骗与攻击、ARP攻击防御
广播:将广播地址作为目的地址的数据帧;每个网段的最后一个IP地址就是该网段的广播地址。如(10.1.1.0/24中的10.1.1.255就是该网段的广播地址)
广播域:网络中能接收到同一个广播所有节点的集合
mac地址广播
广播地址:FF-FF-FF-FF-FF-FF
IP地址广播
1、255.255.255.255
2、广播IP地址为IP地址网段的广播地址,如192.168.1.255/24
交换机不能隔离广播,路由隔离广播
————————————————
ARP协议:地址解析协议,即ARP(Address Resolution Protocol)
作用:将一个已知的IP地址解析成MAC地址
---- ----------- -------- -----
原理:
1)ARP广播请求
主机A要和主机C通信,但是事先他并不知道自己C的MAC 地址是多少,那这时候他怎么办?只能发一个广播包了呀,帧结构里面的源MAC地址填的是自己的MAC ,目标地址的MAC不知道那就是FF-FF-FF-FF-FF-FF,ARP 请求报文中包含源IP地址、目的IP地址、源MAC地址、目的MAC地址(目的MAC的值为0;全0代表这个地址待填充),请求报文会在网络中传播,该网络中的所有网关都会接受到ARP请求报文。
2)ARP单播应答
当主机C收到A主机发送的广播包后知道就是找它,那它得给主机A回应一个ARP应答呀,ARP应答报文中的源协议地址变成了主机C主机的IP地址,目标地址就是主机A的IP地址,目的MAC是主机A的MAC ,源MAC地址就是主机的MAC地址,然后通过单播的方式传送到主机A。
ARP缓存【以最后收到的应答为准】
当主机A收到ARP应答后做的事情就是把主机C的MAC 地址存放到自己的ARP缓存表中,下次如果还有数据包要发送往C,那它就不会广播再去发一次而是找到ARP缓存表的记录,然后把C的MAC地址填上去就发送数据包了。
当主机接收到一个广播信息,如果IP地址与广播的IP地址相同,则发回一个应答包,若不相同,则不做反应。但会把源IP地址与源MAC地址写入arp高速缓存形成映射。
---- ----------- -------- -----
1、arp -a 查看ARP缓存
2、arp -d 清除arp缓存
3、arp -s arp绑定
————————————————
ARP攻击或欺骗的原理:
通过发送伪造虚假的ARP报文(广播或单播),来实现攻击或欺骗
如虚假报文的MAC是伪造的不存在的,实现ARP攻击,结果为终端通信/断网
如虚假报文的MAC是攻击者自身的MAC地址,实现ARP欺骗,结果可以监听、窃取、篡改、控制流量,但不中断通信!
---- ----------- -------- -----
ARP攻击产生原因是因为arp协议的局限:
ARP协议没有验证机制;
arp缓存表以以最后收到的应答为准;
ARP攻击者通过发送虚假伪造的ARP报文对受害者进行ARP缓存投毒;
————————————————
ARP攻击防御
1、静态ARP绑定:手工绑定/双向绑定
windows客户机上:
arp -s 10.1.1.254 00-20-2c-a0-e1-o9
2、ARP防火墙
自动绑定静态ARP
主动防御
3、硬件级ARP防御
交换机支持”端口“做动态ARP绑定(配合DHCP服务器)
或做交换机静态ARP绑定
交换机动态ARP详细配置后续更新》》
