windows系统中的ARP命令:
arp -a #查看ARP缓存表,不通信一会就没了
arp -d #清除ARP缓存
arp -s #ARP绑定
ARP攻击报文:广播、应答、请求、单播应答
通过发送虚假的广播或者应答报文
欺骗:窃取数据
ARP:
1.地址解析协议
2.作用:将IP解析为MAC地址
3.原理:1.发送ARP广播请求
ARP报文内容:我是10.1.1.1我的MAC:AA
谁是10.1.1.3 你的MAC:?
2.接受ARP单播应答
4.ARP攻击和欺骗的原理是:
通过发送伪造虚假的ARP报文(广播或单播)来实现的攻击或欺骗
若虚假报文的MAC是伪造的不存在的,实现ARP攻击,结果为中断通信/断网
若虚假报文的MAC是攻击者自身的MAC地址,实现ARP欺骗,结果可以监听
窃取、篡改、控制流量,但不中断通信
5.ARP协议没有验证机制
6.ARP攻击者通过发送虚假伪造的ARP报文对受害者进行ARP缓存投毒
7.路由器的工作原理:
1.一个帧到达路由,路由器首先检查目标MAC地址是否自己,如果不是丢弃,如果是则解
封装,并将IP包送到路由器内部
2.路由器检查IP包头中的目标IP,并匹配路由表,如果匹配失败,则丢弃,并向源IP回馈错误信息
如匹配成功,则将IP包路由到出接口
3.封装帧,首先将出接口的MAC地址作为源MAC封装好,然后检查ARP缓存表,检查是否有下一跳
的MAC地址,如有,将提取并作为目标MAC地址封装到帧中,如没有,则发送ARP广播请求下一跳的
MAC,并获取到对方的MAC地址,再记录缓存,并封装帧,最后将帧发出去
ARP攻击防御:
1.静态ARP绑定
手工绑定/双向绑定
windows客户机上
arp -s 10.1.1.254 00-01-2c-a0-e1-09
arp -s #查看ARP缓存
2.ARP防火墙
自动绑定静态ARP
主动防御
3.硬件级ARP防御:
交换机支持”端口“做动态ARP绑定(配合DHCP服务器)
或做静态绑定
如:conf t
ip dhcp snooping
int range f0/1 - 48
switch(config-range-is)#