广播

MAC广播地址

FF-FF-FF-FF-FF-FF

IP广播地址

本网段得广播IP地址：192.168.1.255/255.255.255.0

全局广播地址：255.255.255.255

广播域

可以收到同一个广播的PC集合，称为一个广播域！

ARP

Address Resolution Protocol：地址解析协议

ARP协议属于网络层（3层，基于分层/包封装来考虑）

ARP的作用：已知目的设备的IP地址解析MAC地址！

工作原理：

当一台设备，因为不知道目的设备的MAC地址，所有无法封装以目的设备MAC地址为目的MAC地址的以太网数据帧时：

1）发送ARP广播报文：

内容是：我的IP是xxx，我的mac是xxx，谁的IP是xxx，你的mac是？？？

2）回应ARP单播报文

交换机：

交换机+路由器：(不同网段的通信)

00：网关的MAC地址！

注意：arp缓存表中不会出现不同网段的MAC地址！

Wireshark抓包分析：

ARP报文格式：

硬件类型：标识链路层协议，0x0001为以太网协议！

协议类型：标识网络层使用的是哪一种协议，其中0x0800表示为IP协议！

硬件地址长度：标识MAC地址长度，这里是6个字节！

协议地址长度：标识IP地址长度，4字节！(注：IPv6没有ARP协议！)

操作：记录该报文的类型，其中1表示ARP请求报文，2表示ARP响应报文。

源站物理地址：发送者MAC

源站IP地址：发送者IP

目的MAC：目的MAC地址，此处全0表示在请求！

目的IP地址：请求时：发送者填写，响应时：发送者IP地址！

漏洞点

学习ARP时，设备会将ARP响应消息保存在自己的ARP缓存表中，并没有考虑这是不是自己请求的APR响应消息，没有进行响应方的身份验证，什么都学，后到后得！这让攻击者得以向网络中散布错误的IP-MAC对应关系，造成ARP欺骗！

(Hacker通过频繁得发送虚假得ARP报文，来实现对受害者进行ARP攻击！)

ARP攻击欺骗

攻击方进行中间人 - 单向欺骗，实现断网！(一直发送虚假的arp报文......)

攻击方进行中间人 - 双向欺骗，实现窃听、控制、篡改！(不断网)

实验

1. 断网攻击

拓扑图：

arp -a  // 查看本地arp缓存

攻击软件：

Kali Linux 2020.2：ettercap

Windows：网络执法官

攻击2003(192.168.1.2)使其不能与2003(clone，192.168.1.3)通信：

验证：

原因：

192.168.1.3真正地MAC地址：

192.168.1.1(攻击者)，一直不断地发送虚假报文，导致不能通信！

恢复：

1. 窃取数据

2003(clone)：FTP服务器、开启Telnet服务！

目的：2003访问2003(clone)中的服务，xp作为中间人窃取FTP访问密码！

FTP服务：

开启Telnet服务：

实验前：

2003访问2003(clone)FTP服务器：

tony/123.com

可以正常访问！

Telnet远程访问：

Administrator/123.com

可以正常访问！

实验：

xp

工具：

注意：

ettercap也能实现！！！

步骤：

1. 扫描在线主机

1. 开始欺骗

1. 验证

arp -a // 假如怀疑被arp攻击，用此命令可以查看出端倪的！arp -d // 删除arp缓存表

telnet：

结论：telnet的远程登录用户和密码已经被窃取！

ftp：

其他服务也能窃取：

ARP攻击防御

ARP静态绑定

PC：

CISCO：

arp 员工IP 员工MAC arpa

缺点：很麻烦！工作量太大！

建议：用在公司的的主要服务器上！

安装ARP防火墙

缺点：会增加网络负担！成功率并不是100%！！

除非已经遭受了ARP攻击，开启，否则不开启！

交换机上启用DAI技术(666)

D：DHCP

AI：ARP检测侦察技术，依赖DHCP Snooping绑定表！

DAI技术，目前在企业级的交换机都有支持！可以将ARP攻击欺骗拍死在萌芽之中！

划分VLAN

同一个VLAN里面的设备不能接收其他VLAN里的ARP数据包！(限制了攻击者的攻击范围！)