ARP協議 ARP攻擊與防禦

2021-10-02 06:45:04 字數 2628 閱讀 7064

目錄

arp協議

1、arp協議概述

2、arp協議作用:

3、arp協議原理:

1)傳送arp廣播請求

2)接受arp單播應答

4、arp的工作過程

5、arp** ​

6、arp攻擊或欺騙的原理是:

1)、arp協議沒有驗證機制,所以容易被arp偷渡攻擊

2)、arp攻擊者通過傳送虛假偽造的arp報文對受害者進行arp快取投毒

7、arp攻擊防禦:

1、靜態arp繫結

2、arp防火牆

3、硬體級arp防禦:

「address resolution protocol」(位址解析協議)

當網路裝置要傳送資料給另一台裝置時,必須要知道對方的網路層位址(即ip位址)。ip位址由網路層來提供,但是僅有ip位址是不夠的,ip資料報文必須封裝成幀才能通過資料鏈路進行傳送。資料幀必須包含目的mac位址,因此傳送端還必須獲取到目的mac位址。通過目的ip位址而獲取目的mac位址的過程是由arp協議來實現的。

arp協議是tcp/ip協議簇中的重要組成部分,arp能夠通過目的ip位址發現目標裝置的mac位址,從而實現資料鏈路層的可達性

將ip解析為mac位址

arp報文內容:我是10.1.1.1 我的mac:aa-aa-aa-aa

誰是10.1.1.3  你的mac:?

arp之簡單請求應答

當兩台計算機在同乙個區域網通訊,我們以ping命令為例,該命令使用的icmp協議

pc1依據osi模型①依次從上至下對資料進行封裝,包括對icmp date加ip包頭的封裝,但是到了封裝mac位址的時候,②pc1首先查詢自己的arp快取表,發現沒有ip2和他的mac位址的對映,這個時候mac資料幀封裝失敗。我們使用ping命令的時候,是指定pc2的ip2的,計算機是知道目的主機的ip位址,能夠完成網路層的資料封裝,因為裝置通訊還需要對方的mac位址,但是pc1的快取表裡沒有,所以在mac封裝的時候填入不了目的mac位址。

那麼pc1為了獲取pc2的mac位址,③pc1要傳送詢問資訊,詢問pc2的mac位址,詢問資訊包括pc1的ip和mac位址、pc2的ip位址,這裡我們想到乙個問題,即使是詢問資訊,也是需要進行mac資料幀的封裝,那這個詢問資訊的目的mac位址填什麼呢,規定當目的mac位址為ff-ff-ff-ff-ff-ff時,就代表這是乙個詢問資訊,也即使後面我要說的廣播。

pc2收到這個詢問資訊後,將這裡面的ip1和mac1(pc1的ip和mac)新增到本地的arp快取表中,然後④pc2傳送應答資訊,對資料進行ip和mac的封裝,傳送給pc2,因為快取表裡已經有pc1的ip和mac的映**呢。這個應答資訊包含pc2的ip2和mac2。pc1收到這個應答資訊,理所應當的就獲取了pc2的mac位址,並新增到自己的快取表中。

經過這樣互動式的一問一答,pc1和pc2都獲得了對方的mac位址,值得注意的是,目的主機先完成arp快取,然後才是源主機完成arp快取。之後pc1和pc2就可以真正交流了。

arp之廣播請求單播回應

上圖中,主機a需要與主機b通訊時,目的ip位址與主機的ip位址位於不同網路,但由於主機a未設定閘道器,所以他將會以廣播的形式傳送arp request報文,請求b的mac位址,但是廣播報文無法被路由器**,所以主機b無法收到主機a的請求報文。

在路由器上啟用**arp功能,就可以解決這個問題。啟用**後,路由器接收到這樣的請求,會查詢路由表,如果存在主機b的路由表項,路由器會將自己的g0/0/0介面的mac位址回應該arp requestrian。主機a收到arp reply後,將一路有油漆的g0/0/0介面mac位址作為目的mac位址進行資料**。

小結:1如果兩台主機在同乙個網段,則直接傳送arp request報文就好。

2 如果在不同網段,

(1)主機a設定了閘道器,arp協議可以正常使用。

(2)主機a沒有設定閘道器,這種情況下,我們要開啟arp**,路由器來重新封裝,**報文

通過傳送偽造虛假的arp報文(廣播或單播),來生實現的攻擊或欺騙!

如虛假報文的mac是偽造的不存在的,實現arp攻擊,結果為中斷通訊/斷網!

如虛假報文的mac是攻擊者本身的mac位址,實現arp欺騙,結果可以監聽、竊取、篡改、控制流量、但不中斷通訊!

手工繫結/雙向繫結

windows客戶機上:

arp -s 10.1.1.254 00-01-2c-a0-e1-09

arp-a 檢視arp快取表

路由器上靜態繫結:

router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0

優點:配置簡單

缺點:工作量大、維護量大

自動繫結靜態arp

主動防禦

優點:簡單易用

缺點:當開啟人數較多時,會增大網路負擔

交換機支援「埠」做動態arp繫結(配合dhcp伺服器)

或做靜態arp繫結

配置命令:

conf t


ip dhcp snooping


int range f0/1-48


switch(config-range-if)#

ARP協議攻擊與防禦 ARP欺騙

在本實驗中,針對arp協議無驗證缺陷,進行arp欺騙以實施中間人攻擊,通過實驗實現 根據提供的實驗環境,owasp節點和seedubuntu節點之間正常通行時資料報將不會經過kali節點。攻擊節點kali將通過arp欺騙成文中間人,從而截獲seedubuntu和owasp節點之間的資料報,並可對資料...

Linux下防禦arp攻擊策略

最近朋友伺服器每天經常遭遇arp病毒攻擊導致 無法正常運營,問我有沒有好的解決策略,經過google了一番嘗試了一下終於得到了解決方案,並找出 感染病毒的機器為一台windows機器通知機房,並在本機做好防禦策略,問題得到了很好的解決,在這個過程中得到了cuci的熱心幫助,在此表示感謝!好了!話不多...

針對ARP攻擊的基本防禦

arp攻擊近年來非常流行,不斷能造成區域網的上網掉線,而且厲害的還攜帶盜號木馬,盜取使用者的資料。針對這些可惡的arp攻擊比較常用的方法是 建立靜態arp表 即arp繫結 這是一種很有效的方法,而且對系統影響不大。缺點是破壞了動態arp協議。可以建立如下的檔案。ip1 08 00 20 ba a1 ...