一:广播与广播域概述
广播与广播域
- 广播:将广播地址做为目的地址的数据帧
- 广播域:网络中能接收到同一个广播所有节点的集合
MAC地址广播
- 广播地址为FF-FF-FF-FF-FF-FF
IP地址广播
- 1)255.255.255.255
- 2)广播IP地址为IP地址网段的广播地址,如192.168.1.255/24
二:ARP协议概述:
什么是ARP协议?
-
1.地址解析协议
-
2.作用:将IP解析为MAC地址
-
3.原理:
1)发送ARP广播请求 ARP报文内容:我是10.1.1.1 我的mac:AA
谁是10.1.1.3 你的mac:?
2)接收ARP单播应答 -
4.ARP攻击或欺骗的原理是: 通过发送伪造虚假的ARP报文(广播或单播),来实现的攻击或欺骗! 如虚假报文的mac是伪造的不存在的,实现ARP攻击,结果为中断通信/断网!
如虚假报文的mac是攻击者自身的mac地址,实现ARP欺骗,结果可以监听、窃取、篡改、控制流量,但不中断通信! -
5.ARP协议没有验证机制,所以容易被arp投毒攻击
-
6.ARP攻击者通过发送虚假伪造的arp报文对受害者进行ARP缓存投毒
-
7.路由器的工作原理
1)一个帧到达路由,路由器首先检查目标MAC地址是否自己,如果不是则丢弃,如果是则解封装,并将IP包送到路由器内部2)路由器检查IP包头中的目标IP,并匹配路由表,如果匹配失败,则丢弃,并向源IP回馈错误信息,如匹配成功,则将IP包路由到出接口。
3)封装帧,首先将出接口的MAC地址作为源MAC封装好,然后检查ARP缓存表,检查是否有下一跳的MAC地址,如有,将提取并作为目标MAC地址封装到帧中,如没有,则发送ARP广播请求下一跳的MAC,并获取到对方的mac地址,再记录缓存,并封装帧,最后将帧发送出去。
-
8.如果公司有人在做ARP欺骗,该如何找到此人?
三:ARP攻击防御:
常见的APR攻击工具cain
1.静态ARP绑定
手工绑定/双向绑定
windows客户机上:
arp -s 10.1.1.254 00-01-2c-a0-e1-09
arp -a 查看ARP缓存表
路由器上静态绑定:
Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0
优点:配置简单
缺点:工作量大,维护量大
2.ARP防火墙
自动绑定静态ARP
主动防御
优点:简单易用
缺点:当开启人数较多时,会增大网络负担
3.硬件级ARP防御:
交换机支持“端口”做动态ARP绑定(配合DHCP服务器)
或做静态ARP绑定
如:
conf t
ip dhcp snooping
int range f0/1 - 48
switch(config-range-if)#
