一、廣播與廣播域概述
廣播與廣播域
廣播:將廣播地址作為目的地址的數據幀
廣播域:網絡中能接收到同一個廣播所有節點的集合
MAC地址廣播
廣播地址為FF-FF-FF-FF-FF-FF
IP地址廣播
1.255.255.255.255
2.廣播IP地址為IP地址網段的廣播地址,入192.168.1.255/24
PS:交換機控制不了廣播域,路由器隔離廣播域
二、ARP協議概述
什么是ARP協議
Address Resolution Protocol,地址解析協議
將一個已知的IP地址解析成MAC地址
ARP廣播請求
ARP單播應答
IP地址解析為MAC地址過程
-PC1發送數據給PC2,查看緩存沒有PC2的MAC地址
-PC1發送ARP請求消息(廣播)
-所有主機收到ARP請求消息
*PC2回復ARP應答(單播)
*其他主機丟棄
-PC1將PC2的MAC地址保存到緩存中,發送數據
PS: ARP作用於局域網,屬於二層,被路由器阻隔,可被用於內網滲透,無法作用於外網
交換機隔離沖突域,路由器隔離廣播域
ARP相關命令
Windows系統中的ARP命令
arp -a: 查看ARP緩存表 arp -d:清楚ARP緩存 arp -s:ARP綁定
Cisco系統中的ARP命令
Router#show arp //查看ARP緩存表 Router#clear arp-cache //清除ARP緩存 Router#arp ip-address mac-address arpa //ARP綁定
ARP攻擊原理
欺騙其他所有計算機
欺騙被攻擊計算機
ARP欺騙原理
ARP欺騙網關
ARP欺騙主機
ARP原理演示
需求分析
PC1和PC2第一次通信
步驟:
使用ipconfig /all查看PC1和PC2的MAC地址
用arp -a 查看ARP緩存
在PC1上pingPC2后,再用“arp -a”查看ARP緩存表
PS:當有兩個應答的時候,后到的ARP應答寫到報文里面
ARP攻擊是通過發布虛假的ARP廣播或應答報文來實現攻擊或欺騙
如虛假報文中的mac是偽造的不存在的,實現ARP攻擊,結果為終端通信
如虛假報文中的mac是攻擊者自身的mac地址,實現ARP欺騙,結構可以監聽、竊取、篡改、控制
流量,但不中斷通信!
造成ARP攻擊或欺騙的現象的情況是由於ARP協議沒有驗證機制
ARP攻擊者通過發送虛假的ARP報文對受害者進行ARP緩存進行投毒
ps:交換機不能配置ip的網絡設備 無mac地址
路由器的工作原理
1) 一個幀到達路由,路由器首先檢測目標MAC地址是否是自己,如果不是則丟棄,如果是則解封裝,
並將IP包送到路由器內部。
2) 路由器檢測IP包頭中的目標IP,並匹配路由表,如果匹配失敗,則丟棄,並向源IP回饋錯誤信息,
如匹配成功,則將IP包路由到出接口。
3) 封裝幀,首先將出接口的MAC地址作為源MAC封裝好,然后檢查ARP緩存表,檢查是否有下一跳的
MAC地址,如果有,將提取並作為目標MAC地址封裝到幀中,如沒有,則發送ARP廣播請求下一跳的MAC,
並獲取到對方的MAC地址,再記錄緩存,並封裝幀,最后將幀發送過去。
ARP攻擊防御
1.靜態ARP綁定
手工綁定/雙向綁定
2.ARP防火牆
自動綁定靜態ARP
主動防御
3.硬件級ARP防御
交換機支持端口做動態ARP綁定(配置DHCP服務器)
或做靜態ARP綁定