协议安全实战（物理层——网络层）

本博客不是按照知识点顺序进行总结的，而是按照本人不熟悉的知识点来总结的，参考可以，用来系统学习可能不全面

物理层

基础知识点

四个特性：机械特性、电气特性、功能特性、规程特性

数据的编码方式：曼切斯特编码、差分曼切斯特编码

传输介质：同轴电缆、双绞线、光纤、光纤接头、光纤模块

物理层攻击

设备破坏

线路侦听：
物理网络设备：比如高级的间谍软件，只要安装，屏幕会射电磁信号，可以用设备收集回来。高级的科研院安装屏蔽双绞线和专门防止电子信号泄露的设备
无线网络监听：使用强的认证和加密的方式

数据链路层

基础知识点

封装成帧、差错检错、可靠传输

组网类型 ：以前（共享类型）都在一个冲突域下，但是有了交换机，就在同一个广播域下，但是同一个接口在一个冲突域下

交换机的工作原理： 收到数据帧之后，学习源MAC地址到对应的接口下，根据数据包中目标MAC地址，向对应接口转发。刚开始时，MAC表没有值，然后交换机工作，MAC表将会学习，高级的交换机每个接口一般保存8个MAC地址就会丢弃后来的MAC地址。

数据链路层攻击

MAC泛洪攻击、MAC欺骗

MAC欺骗： 通过假冒其他网络设备的MAC地址来实现攻击目的。MAC地址是网络设备的唯一硬件标识,用于在局域网中唯一标识不同设备。

MAC泛洪攻击

攻击原理

攻击者通过修改ARP请求数据包来伪造自己的MAC地址，并向整个局域网中发送大量的ARP请求广播包，交换机会解析这个ARP请求包并识别MAC地址将其加入自己的MAC地址表中，当地址表装满的时候，用户的请求包发进来之后会被广播到局域网中。攻击者只需要监听自己的网卡即可。

环境配置

配置kali阿里源

配置源文件 /etc/apt/sources.list

#deb https://mirrors.aliyun.com/kali kali-rolling main non-free contrib
#deb-src https://mirrors.aliyun.com/kali kali-rolling main non-free contrib

然后wp即可
之后执行 apt-get update

安装kali工具

apt-get install dsniff
安装dsniff工具，我的kali直接安装成功

安装软件环境

1. 先安装WinPcap，显示已经安装了更新版本，使用geek.exe卸载NPcap并清除注册表，再次安装

2. 再安装Wireshark，在安装的过程中

   不勾选这个，别的继续

3. 然后安装VirtualBox，一路确定，但最后要选几个选项

   

   不自动更新，也不自动获取DHCP服务器

4. 安装eNSP

搭建实验环境

1. 打开eNSP，新建拓扑，选择设备（交换机S5700，client，server，cloud），给Cloud1设置如下， 然后连线

   

2. 给Client1 设置ip地址 192.168.100.1，设置ftp客户端
   给Server1 设置ip地址 192.168.100.3，设置ftp服务器

   

3. 先选择kali的网卡为V1，然后设置kali的IP获取为手动，并设置其ip地址为192.168.100.2

   

4. 测试Client与Server直接的通信
   测试kali和Client之间的通信

   

   

5. 之后查看以下交换机
   sy
   display mac-address

   

   可见，kali ping通之后，其mac地址被学习了

6. undo mac-address 删除MAC表

攻击过程

执行macof命令，让kali发送大量的包给3号接口，把MAC表填满，

然后停止攻击，打开wireshark进行监听eth0网卡，然后模拟Client用户登录ftp，下载文件，之后就可以抓取到ftp和dtp-data包了。

简单追踪一下tcp流，可以看到USER和PASS，以及文件列表

可以看到用户名为root 密码为1234qwer。ftp上的文件如上

防御方法

限制某个接口ARP请求的数量、使用VLAN分隔等等。
限制ARP请求的数量
int g0/0/3 选择接口
port-security ? 显示其安全信息
port-security enable 开启安全模式
port-security max-mac-num 10 # 最大保存mac地址数
port-security protect-action protect # 执行的操作
display this

再攻击查看

可以看到，mac地址表只表示了10个

网络层

主要功能： ip寻址、路由、IP分包和组包

ip地址分类

其中A类地址的网关是255.0.0.0，B类是255.255.0.0，C类是255.255.255.0

范围

注意看，其中127开头的IP地址直接越过了

私有地址不允许出现在公网上

集中特殊的ip： 0.0.0.0 127.0.0.1 255.255.255.255 169.254.0.0（网络故障）

NAT转换协议，外网不能访问内网，不通的ip地址做外网的端口映射

后来又有IP地址无类的概念，子网划分、IPV6（16个字节，2^128）

路由控制

路由表的三个要素： 目标网段、逃出接口、下一跳地址

路由的三个协议：直连路由协议，静态路由协议（手工配置）、动态路由协议（ 路由器之间通过交换路由信息来更新路由表 ）