抓靶机返回的数据包 查看数据包中网络层的数据字段TTL 如果TTL为128,则可能是Win系统 如果TTL为64,则可能是Linux系统
1、arp的工作原理 //已知IP,寻找MAC地址
2、路由器的工作原理: // 1.当路由器收到数据包后,先检查目标IP地址 // 2.路由器会根据路由表查找目标IP对应的转发路径 // 3.如果路由表中没有目标IP的记录。则丢包,并向发送方返回不可达信息 // 4.如果路由表中存在目标IP,路由器会将数据从对应接口发送出去 // 5.在转发时,会将源MAC地址改为本接口的MAC地址,目标MAC地址改为下一跳设备的MAC地址
3、交换机的工作原理 // 1.当交换机收到数据帧后,先查看源MAC地址 // 2.当MAC表中没有源MAC地址,就将源MAC地址与接收该数据的物理口建立映射关系 // 3.然后查看目标MAC地址是否存在与MAC地址表中 // 4.如果目标MAC不存在,交换机会进行广播转发除接收端口以外的所有物理口 // 5.如果目标MAC存在,交换机会通过对应端口进行单播转发
4、什么是arp攻击 //攻击机伪造ARP响应,将伪造的ARP响应数据包发送给靶机,靶机收到数据包后,更新ARP缓存表,将目标IP对应MAC(或者网关MAC)更改为伪造的MAC地址,导致后续发往指定IP(或者网关IP)的数据都会发往伪造的MAC地址对应设备(攻击机)
//攻击主机伪造ARP响应,将伪造的ARP响应数据包发送给靶机,靶机收到数据包后,更新ARP缓存表,将目标IP对应MAC更改外伪造的MAC地址,导致后续发往指定IP的数据都会发往伪造的MAC地址对应设备
5、怎么防御arp攻击 //1.绑定静态ARP:对关键设备,如网关、服务器,可以手工绑定固定的 IP 与 MAC 映射。 //2.使用交换机安全能力:接入交换机上部署安全机制,从网络设备层面防御 ARP 欺骗,常用方案: // 端口安全策略 // 给交换机端口设最大 MAC 地址数 // 端口绑定合法 MAC 地址 // 对违规设备自动执行丢弃、告警或关闭端口处理 //3.使用安全软件或准入控制
6、怎么研判arp攻击 //1.抓包分析 // 重点关注: // 短时间内出现大量 ARP响应 // 没有 请求却主动出现 ARP 响应 // 网关 IP 对应的 MAC 频繁变化 //2.查看 ARP 缓存 // 重点看是否存在异常映射,例如: // 同一个 MAC 反复对应多个 IP // 网关 IP 对应的 MAC 突然变化 // 可以先清缓存,再重新学习并观察:
7、icmp 状态码 //类型(Type) 编码(Code) 含义 // 8 0 ICMP请求(Ping请求包) // 0 0 ICMP响应(Ping响应包) // 3 0 1 2 3 网络不可达/主机不可达/协议不可达/端口不可达 // 5 0 1 网络重定向/主机重定向 // 11 0 超时传输(TTL值减至0时触发)
8、icmp 和 arp 的区别 //特性维度 ICMP重定向攻击 ARP欺骗/攻击 //协议层级 网络层(三层),基于IP协议 链路层(二层),基于MAC地址 //攻击原理 伪造ICMP Type 5报文,修改靶机路由缓存 伪造ARP响应,修改靶机ARP表(IP-MAC绑定) //攻击范围 可跨网段(需路由可达、无过滤) 仅限同一广播域(同一子网) //稳定性 极不稳定,现代系统多忽略ICMP重定向 稳定高效,ARP无认证机制 //防御难度 易防御,过滤ICMP Type 5即可 较复杂,需DAI、静态ARP等 //典型场景 劫持特定目标流量(少见) 内网中间人攻击、流量嗅探(常用) //ARP攻击是内部网络渗透的利器,一旦进入目标网络,利用ARP欺骗可以非常稳定地进行流量劫持和嗅探,是内网横向移动的常用手段。 //ICMP重定向攻击在现今互联网中已基本失效,更像一个“历史攻击向量”。其价值主要在于安全研究、理解协议交互,或在极少数安全配置严重错误的环境中作为一种可能的攻击途径。
9、ip层的工作
1、UDP 将 UDP报文 作为 载荷,连同 目的 IP地址、源IP地址等参数,传递给IP层。
2、ip工作:
2.1 封装: 在“载荷”前添加一个 IP头部(包含版本、TTL、协议号=17(UDP)、源IP、目的IP等),形成一个 IP数据报。这是一个完整的内存数据结构。
2.2 决策: 查询内核路由表,根据目的IP地址确定 //决策 出 下一跳 ip
2.2.1 如果目的IP是本机,不发送出去,直接交给上层。
2.2.2 如果目的IP是本网段其他主机,下一跳IP就是目的IP本身。
2.2.3 如果目的IP是外网,下一跳IP就是默认网关的IP。
2.3 交付: 将封装好的 IP数据报 和计算出的 下一跳IP地址,作为一个参数包,传递给 数据 链路层。
