标签:ARP 知识点 网关 北邮 MAC 地址 主机 数据包
ARP攻击
嗅探技术
收集有用数据信息的网络监听方法,以太网嗅探,网卡一般有四种接收工作模式
广播模式:接收局域网内目的地址为广播地址的数据包
多播模式:接收目的地址为多播地址的数据包
直接模式/单播模式:只接收目的地址为本机MAC的所有数据包
混杂模式:接收通过网卡的所有数据包
ARP协议
地址解析协议,即ARP(Address Resolution Protocol),是由IP地址获取MAC地址的一个TCP/IP协议。
网络通信一般以IP地址为源、目的地址,但数据链路层的交换机、网卡等并不能识别IP地址,需要获取MAC地址才能通信。[1]
主机设有一个ARP高速缓存,存放局域网中主机的IP地址和MAC地址对。 缓存表中不存在查找项时,运行ARP广播查找目标主机的MAC地址。
ARP缓存表中的每一个映射地址项都有生存时间,进行定时更新。
ARP攻击技术
针对交换机
1.如果主机C发送大量虚假MAC地址的数据报,快速填满地址映射 表。交换机在地址映射表被填满后,就会像HUB一样以广播方式 处理数据报。 2.不适合采用静态地址映射表的交换机,而且也不是所有交换机都采用这种转发处理方式。
针对目标主机A和B
1.主机C为了达到嗅探的目的,会向主机A和主机B分别发送ARP应答包,告诉它们IP地址为IPB的主机MAC地址为MACC,IP地址为IPA的主机MAC地址为MACC。 2.主机A和主机B的ARP缓存中就会有IPB—MACC和IPA—MACC的记录。主机A和主机B的通信数据都流向了主机C,主机C只要再发送到其真正的目的地就可以了。(中间人攻击) 3.ARP缓存表项是动态更新的(一般为两分钟),如果没有更新信息,ARP映射项会自动删除。所以,主机C在监听过程中,还要不断地向主机A和主机B发送伪造的ARP应答包。
针对本机MAC地址
1.把主机C的MAC地址修改为目标主机B的MAC地址,交换机会将 MACB和端口c对应起来。 2.只适用于动态生成地址映射表的交换机。
ARP攻击溯源
抓包分析
捕获所有到达本机的数据包。如果发现有某个IP不断发送ARP Request请求包,那么这台电脑一般就是病毒源。
欺骗网关:在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中毒主机的MAC地址。从网关到网内的数据包被发送到中毒主机。
欺骗网内所有主机:网内所有主机的ARP缓存表中,网关的MAC地址也成为中毒主机的MAC地址。主机发往网关的数据包发送到中毒主机。
使用arp -a 命令
两台电脑除了网关的IP,MAC地址对应项,都包含了某IP,则可以断定这台主机就是病毒源。
1.一般情况下,网内的主机只和网关通信。正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址。 2.如果有其他主机的MAC地址,说明本地主机和这台主机最后有过数据通信发生。如果某台主机既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么,病毒源就是它了。
tracert命令
假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源。
中毒主机在受影响主机 和网关之间,扮演了“中间人”的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发到了中毒主机。此时,中毒主机越俎代庖,起了缺省网关的作用。
arp攻击防御方法
减少过期时间
1.并不能避免攻击,但是使得攻击更加困难。 2.会出现大量arp请求和回复,不要在繁忙网络使用。
建立静态arp表
破坏动态arp协议。合法主机的网卡硬件地址改变,就必须手工刷新这个arp文件。这个方法,不适合于经常变动的网络环境。
禁止arp
1.网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表,如果不在ARP表中的计算机 ,将不能通信. 2.增加了网络管理成本,但是用于小规模网络。
ipv6下的地址解析
NDP(邻居发现协议,Neighbor Discovery Protocol) ipv6中没有arp欺骗。
1.交换机位于数据链路层,它为接入交换机的任意两个网络节点提供独享的电信号通路。 2.交换机内部的CPU会在每个端口成功连接时,通过MAC和端口对应,形成MAC表。 3.MAC地址的数据包仅送到其对应端口。 注:以下内容只讨论二层交换机,三层交换机有MAC-IP映射。
标签:ARP,知识点,网关,北邮,MAC,地址,主机,数据包 来源: https://blog.csdn.net/weixin_45746630/article/details/122723519
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。