ARP攻击和欺骗原理讲解

♥️作者：小刘在这里

♥️每天分享云计算网络运维课堂笔记，努力不一定有收获，但一定会有收获加油！一起努力，共赴美好人生！

♥️夕阳下，是最美的，绽放，愿所有的美好，再疫情结束后如约而至。

1.ARP: 地址解析协议

把已知IP地址，解析成Mac地址
 网络通信的基础协议
 注：ARP协议分为两种包类型
     ARP request       请求包
     ARP reply       回应包

2.ARP攻击和欺骗

利用ARP协议的漏洞（无分辨接受任何主机的arp回应包），伪造任何主机的Mac地址
arp攻击：无法通信
arp欺骗：窃取数据
arp攻击实现方式：
欺骗其他所有计算机：制造假的arp应答，并发送给局域网中除了被攻击主机以外的计算机，应答包中包含被攻击者的ip和虚假mac地址
欺骗被攻击计算机: 制造假的arp应答,并发送给被攻击的计算机，应答包中包含其它计算机的ip和虚假的mac地址
arp欺骗的实现方式：
ARP欺骗网关(冒充网关):arp应答包中包含网关的ip地址和攻击者的mac地址
ARP欺骗网关(冒充主机):arp应答包中包含主机的ip地址和攻击者的mac地址
总结：arp攻击： 攻击者向被攻击者发送错误的mac
arp欺骗： 攻击者向被攻击者自己的mac

3.防范ARP攻击

（1）静态绑定ARP，真实环境不太现实 必须在主机和网关双向绑定
主机上绑定
先查看网卡的id
netsh interface ipv4 show neighbors
再进行绑定
语法：netsh interface ipv4 set neighbors 网卡id 目标主机ip地址 目标主机mac地址
示例：netsh interface ipv4 set neighbors 11 10.0.0.178 00-1a-e2-df-07-41
如果是xp系统用：arp -s 目标主机ip地址 目标主机mac地址

网关路由器上绑定
     语法：Router(config)#arp 目的主机ip地址 目标主机mac地址 arpa 接口
     示例：Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0

交换机上绑定
     语法：Switch(config)#arp 目的主机ip地址 目标主机mac地址 arpa 接口
     示例：Switch(config)#arp 10.0.0.12 90fb.a695.4445 arpa f0/2
 查看arp缓存表：arp  -a
 清除arp缓存表：arp  -d

    

（2）安装ARP防火墙，或企业级防火墙（自带ARP防火墙功能）

4.查找ARP攻击的计算机

MAC地址为真实计算机地址
     查看网络信息记录表迅速定位计算机
     MAC地址为虚假地址
 查看交换机的MAC地址表，确定此MAC所属端口
     Switch#show mac address-table address 001f.caff.1003

5.分析arp包

arp请求包
     opcode 1 (arp request)
     sender's hardware address = 000c298f72dd
     sender's protocol address = 192.168.0.1
     Target's hardware address = 000000000000
     Target's protocol address = 192.168.0.2
 arp应答包
     opcode 2 (arp reply)
     sender's hardware address = 000c29743dcc
     sender's protocol address = 192.168.0.2
     Target's hardware address = 000c298f72dd
     Target's protocol address = 192.168.0.1
     

6.抓包工具

sniffer
 wireshark

♥️关注，就是我创作的动力

♥️点赞，就是对我最大的认可

♥️这里是小刘，励志用心做好每一篇文章，谢谢大家