北邮 网络安全 期末复习 知识点总结之ARP攻击

 北邮 网络安全 期末复习 知识点总结之ARP攻击

 

ARP攻击

嗅探技术

收集有用数据信息的网络监听方法,以太网嗅探,网卡一般有四种接收工作模式

广播模式:接收局域网内目的地址为广播地址的数据包

多播模式:接收目的地址为多播地址的数据包

直接模式/单播模式:只接收目的地址为本机MAC的所有数据包

混杂模式:接收通过网卡的所有数据包

ARP协议

地址解析协议,即ARP(Address Resolution Protocol),是由IP地址获取MAC地址的一个TCP/IP协议。

网络通信一般以IP地址为源、目的地址,但数据链路层的交换机、网卡等并不能识别IP地址,需要获取MAC地址才能通信。[1] 

主机设有一个ARP高速缓存,存放局域网中主机的IP地址和MAC地址对。 缓存表中不存在查找项时,运行ARP广播查找目标主机的MAC地址。

ARP缓存表中的每一个映射地址项都有生存时间,进行定时更新。

ARP攻击技术

针对交换机

1.如果主机C发送大量虚假MAC地址的数据报,快速填满地址映射 表。交换机在地址映射表被填满后,就会像HUB一样以广播方式 处理数据报。 2.不适合采用静态地址映射表的交换机,而且也不是所有交换机都采用这种转发处理方式。

针对目标主机A和B

1.主机C为了达到嗅探的目的,会向主机A和主机B分别发送ARP应答包,告诉它们IP地址为IPB的主机MAC地址为MACC,IP地址为IPA的主机MAC地址为MACC。 2.主机A和主机B的ARP缓存中就会有IPB—MACC和IPA—MACC的记录。主机A和主机B的通信数据都流向了主机C,主机C只要再发送到其真正的目的地就可以了。(中间人攻击) 3.ARP缓存表项是动态更新的(一般为两分钟),如果没有更新信息,ARP映射项会自动删除。所以,主机C在监听过程中,还要不断地向主机A和主机B发送伪造的ARP应答包。

针对本机MAC地址

1.把主机C的MAC地址修改为目标主机B的MAC地址,交换机会将 MACB和端口c对应起来。 2.只适用于动态生成地址映射表的交换机。

ARP攻击溯源

抓包分析

捕获所有到达本机的数据包。如果发现有某个IP不断发送ARP Request请求包,那么这台电脑一般就是病毒源。

欺骗网关:在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中毒主机的MAC地址。从网关到网内的数据包被发送到中毒主机。

欺骗网内所有主机:网内所有主机的ARP缓存表中,网关的MAC地址也成为中毒主机的MAC地址。主机发往网关的数据包发送到中毒主机。

使用arp -a 命令

两台电脑除了网关的IP,MAC地址对应项,都包含了某IP,则可以断定这台主机就是病毒源。

1.一般情况下,网内的主机只和网关通信。正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址。 2.如果有其他主机的MAC地址,说明本地主机和这台主机最后有过数据通信发生。如果某台主机既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么,病毒源就是它了。

tracert命令

假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源。

中毒主机在受影响主机 和网关之间,扮演了“中间人”的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发到了中毒主机。此时,中毒主机越俎代庖,起了缺省网关的作用。

arp攻击防御方法

减少过期时间

1.并不能避免攻击,但是使得攻击更加困难。 2.会出现大量arp请求和回复,不要在繁忙网络使用。

建立静态arp表

破坏动态arp协议。合法主机的网卡硬件地址改变,就必须手工刷新这个arp文件。这个方法,不适合于经常变动的网络环境。

禁止arp

1.网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表,如果不在ARP表中的计算机 ,将不能通信. 2.增加了网络管理成本,但是用于小规模网络。

ipv6下的地址解析

NDP(邻居发现协议,Neighbor Discovery Protocol) ipv6中没有arp欺骗。


1.交换机位于数据链路层,它为接入交换机的任意两个网络节点提供独享的电信号通路。 2.交换机内部的CPU会在每个端口成功连接时,通过MAC和端口对应,形成MAC表。 3.MAC地址的数据包仅送到其对应端口。 注:以下内容只讨论二层交换机,三层交换机有MAC-IP映射。

上一篇:华为设备配置VLAN内Proxy ARP


下一篇:dremio 链接starrocks 的方法