广播与广播域
- 广播:将广播地址做为目的地址的数据帧
- 广播域:网络中能接收到同一个广播所有节点的集合
- MAC地址 广播地址
FF-FF-FF-FF-FF-FF - IP地址 广播地址
255.255.255.255 - 广播IP地址为IP地址网段的广播地址,如
192.168.1.255/24
交换机没有隔离广播的能力,路由器有隔离广播的能力
ARP协议
什么是ARP协议
- Address Resolution Protocol,地址解析协议,将一个已知的ip地址解析成mac地址
原理
- 发送ARP广播请求,局域网内所有的主机都会收到,如果请求询问的是自己,就会响应请求,返回MAC地址,由于ARP协议没有验证机制,所以容易被arp投毒攻击
ARP攻击或欺骗原理
- ARP协议没有验证机制,所以容易被arp投毒攻击,但是该攻击仅限于局域网,无法攻击外网主机
- 通过发送伪造虚假的ARP报文(广播或单播),来实现的攻击或欺骗
- 如虚假报文的mac是伪造的不存在的,实现ARP攻击,结果为中断通信/断网
- 如虚假报文的mac是攻击者自身的mac地址,实现ARP欺骗,结果可以监听,窃取,篡改,控制流量,但不中断通信
路由器工作原理
- 一个帧到达路由,路由器首先检查目标MAC地址是否自己,如果不是则丢弃,如果是则解封装,并将IP包送到路由器内部
- 路由器检查IP包头中的目标IP,并匹配路由表,如果匹配失败,则丢弃,并向源IP回馈错误信息,如匹配成功,则将IP包路由到出接口.
- 封装帧,首先将出接口的MAC地址作为源MAC封装好,然后检查ARP缓存表,检查是否有下一跳的MAC地址,如有,将提取并作为目标MAC地址封装到帧中,如没有,则发送ARP广播请求下一跳的MAC,并获取到对方的mac地址,再记录缓存,并封装帧,最后将帧发送出去.
ARP攻击实战
准备3台虚拟机,配置ip在同一个局域网中,记录ip和mac地址
- win2003 172.16.0.1 00-0C-29-EA-23-91
- winxp 172.16.0.2 00-0C-29-9B-10-9F
- win2003 172.16.0.3 00-0C-29-10-9A-F2
arp攻击 网络监控机
根据步骤安装完成后,在安装目录使用bat脚本打开工具
- 扫描主机
- 选择手工管理进行攻击
- 查看被攻击的主机信息
172.16.0.1是攻击者的ip,arp信息是正确的,但是172.16.0.3的arp信息已经替换为错误的mac地址
arp欺骗 cain
打开后选择网卡后开始嗅探
- 进行arp欺骗
- 查看靶机arp信息
可以ping通,但是数据会经过172.16.0.1,攻击者可以从不加密的数据中获取帐号密码
- 获取telnet帐号密码
arp欺骗 ettercap
ettercap是一款强大的嗅探工具,集成在kali系统中
- 打开工具
- 选择
sniff--unified sniffing,并选择监听
- 选择
Hosts--Scan for hosts,进行扫描
- 扫描完成后选择
Hosts--Hosts list,可以看到扫描到的主机
- 添加欺骗记录,选中172.16.0.1,点击
Add to Target 1
- 选中172.16.0.3,点击
Add to Target 2
- 在
Mitm选择ARP欺骗
- 在弹出的窗口中,勾选第一个点击确定
- 然后点击菜单
Start--Start sniffing
172.16.0.1telnet连接到172.16.0.3
- 嗅探到telnet密码
ARP攻击防御
静态ARP绑定
- 手工绑定/双向绑定
- 优点:配置简单
- 缺点:工作量大,维护量大,系统重启失效
#windows客户机上
arp -s 10.1.1.254 00-01-2c-a0-e1-09
#查看ARP缓存表
arp -aARP防火墙
- 自动绑定静态ARP,过程就是不断发送ARP请求来覆盖ARP攻击者的请求
- 优点:简单易用,主动防御
- 缺点:当开启人数较多时,会增大网络负担
硬件级ARP防御
- 交换机支持"端口"做动态ARP绑定(配合DHCP服务器)或做静态ARP绑定
- 在发起ARP攻击时通过交换机阻止攻击请求
Alipay
Wechat
最后一次更新于2020-12-17 16:05
0 条评论