MAC广播地址
FF-FF-FF-FF-FF-FF
IP广播地址
本网段得广播IP地址:192.168.1.255/255.255.255.0
全局广播地址:255.255.255.255
广播域
可以收到同一个广播的PC集合,称为一个广播域!
Address Resolution Protocol:地址解析协议
ARP协议属于网络层(3层,基于分层/包封装来考虑)
ARP的作用:已知目的设备的IP地址解析MAC地址!
工作原理:
当一台设备,因为不知道目的设备的MAC地址,所有无法封装以目的设备MAC地址为目的MAC地址的以太网数据帧时:
1)发送ARP广播报文:
内容是:我的IP是xxx,我的mac是xxx,谁的IP是xxx,你的mac是???
2)回应ARP单播报文
交换机:
交换机+路由器:(不同网段的通信)
00:网关的MAC地址!
注意:arp缓存表中不会出现不同网段的MAC地址!
Wireshark抓包分析:
主机1: IP1 10.1.20.64 MAC1:00:08:ca:xx:xx:xx主机2: IP2 10.1.20.109 MAC2:44:6d:57:xx:xx:xx
ARP报文格式:
硬件类型:标识链路层协议,0x0001为以太网协议!
协议类型:标识网络层使用的是哪一种协议,其中0x0800表示为IP协议!
硬件地址长度:标识MAC地址长度,这里是6个字节!
协议地址长度:标识IP地址长度,4字节!(注:IPv6没有ARP协议!)
操作:记录该报文的类型,其中1表示ARP请求报文,2表示ARP响应报文。
源站物理地址:发送者MAC
源站IP地址:发送者IP
目的MAC:目的MAC地址,此处全0表示在请求!
目的IP地址:请求时:发送者填写,响应时:发送者IP地址!
漏洞点
学习ARP时,设备会将ARP响应消息保存在自己的ARP缓存表中,并没有考虑这是不是自己请求的APR响应消息,没有进行响应方的身份验证,什么都学,后到后得!这让攻击者得以向网络中散布错误的IP-MAC对应关系,造成ARP欺骗!
(Hacker通过频繁得发送虚假得ARP报文,来实现对受害者进行ARP攻击!)
攻击方进行中间人 - 单向欺骗,实现断网!(一直发送虚假的arp报文......)
攻击方进行中间人 - 双向欺骗,实现窃听、控制、篡改!(不断网)
实验
断网攻击
拓扑图:
arp -a // 查看本地arp缓存
攻击软件:
Kali Linux 2020.2:ettercap
Windows:网络执法官
攻击2003(192.168.1.2)使其不能与2003(clone,192.168.1.3)通信:
验证:
原因:
192.168.1.3真正地MAC地址:
192.168.1.1(攻击者),一直不断地发送虚假报文,导致不能通信!
恢复:
窃取数据
2003(clone):FTP服务器、开启Telnet服务!
目的:2003访问2003(clone)中的服务,xp作为中间人窃取FTP访问密码!
FTP服务:
开启Telnet服务:
实验前:
2003访问2003(clone)FTP服务器:
tony/123.com
可以正常访问!
Telnet远程访问:
Administrator/123.com
telnet 192.168.1.3
可以正常访问!
实验:
xp
工具:
注意:
ettercap也能实现!!!
步骤:
扫描在线主机
开始欺骗
验证
arp -a // 假如怀疑被arp攻击,用此命令可以查看出端倪的!arp -d // 删除arp缓存表
telnet:
结论:telnet的远程登录用户和密码已经被窃取!
ftp:
其他服务也能窃取:
ARP静态绑定
PC:
arp -s 网关的IP 网关的MAC地址
CISCO:
arp 员工IP 员工MAC arpa
缺点:很麻烦!工作量太大!
建议:用在公司的的主要服务器上!
安装ARP防火墙
缺点:会增加网络负担!成功率并不是100%!!
除非已经遭受了ARP攻击,开启,否则不开启!
交换机上启用DAI技术(666)
D:DHCP
AI:ARP检测侦察技术,依赖DHCP Snooping绑定表!
DAI技术,目前在企业级的交换机都有支持!可以将ARP攻击欺骗拍死在萌芽之中!
划分VLAN
同一个VLAN里面的设备不能接收其他VLAN里的ARP数据包!(限制了攻击者的攻击范围!)
联系客服