【千峰】14、ARP协议
ARP协议
广播与广播域概述
-
广播与广播域
-
广播:将广播地址作为目的地址的数据帧
-
广播域:网络能接收到同一个广播所有节点的集合
-
-
MAC地址广播
- 广播地址为FF-FF-FF-FF-FF-FF
-
IP地址广播
- 255.255.255.255
- 广播IP地址为IP地址网段的广播地址,如 192.168.1.255/24
路由器隔绝广播
ARP协议概述
-
什么是ARP协议
-
address resolution protocol,地址解析协议
-
将一个已知的IP协议解析成MAC地址
-
ARP是在一个局域网中的,跑不出路由器
-
-
IP地址解析为MAC地址过程
-
PC1发送数据给PC2,查看缓存没有MAC地址
-
PC1发送ARP请求消息(广播)
-
所有主机收到ARP请求消息
- PC2回复ARP应答(单播)
- 其他主机丢弃
-
-
其他
- PC1将PC2的MAC地址保存到缓存中,发送数据
- 如果ARP请求的IP地址不在同一网段,电脑会发送请求网关MAC地址的消息
- 漏洞产生的原因:ARP协议没有验证机制
路由器工作原理
当一个帧到达路由器......
命令
看个人电脑中的ARP缓存(关机时消失)
arp -a
清除ARP缓存
arp -d
ARP绑定
arp -s
ARP攻击原理
攻击目的:
- 中断通信/断网
攻击方式:
-
通过应答报文攻击
-
通过广播报文攻击(在广播时携带假的IP地址和MAC地址)
ARP欺骗
攻击目的:
- 截获数据
小总结
实战
工具
ARP攻击防御
1.静态ARP绑定
手工绑定/双向绑定
一关机就没了
Windows客户机上绑定ARP:
arp -s ip MAC地址
网关(路由器)上绑定ARP:
conf t
arp ip MAC arpa 接口(如:f0/0)
(交换机上相似)
2.ATP防火墙
通过发送比攻击者速度更快的ARP请求,来改正ARP缓存表
自动绑定静态ARP
自动防御
3.硬件级ARP防御
交换机支持端口做动态ARP绑定(配合DHCP服务器)
或
静态ARP绑定(需要交换机支持)
conf t
ip dhcp snooping //开启DHCP监听
int range f0/1 - 48 //配置一组的接口(思科)
浙公网安备 33010602011771号