ARP课件
合集下载
第6讲 IP编址PPT课件
2020/10/13
9
单播、多播和广播地址
单播地址(Unicast Address) 从单个源端把分组发送到单个目的端,源端和目的端 是一对一的关系。
多播地址(Multicast Address) 从单个源端把分组发送到一组目的端,源端和目的端 是一对多的关系。
广播地址(Broadcast Address) 从单个源端把分组发送到所有的目的端,源端和目的 端是一对所有的关系。
代理 ARP 路由器
20
2.7 地址解析
Internet上两个主机或路由器实现通 信时,物理地址和IP地址都是必需的。 所以我们需要一种机制,可以将IP地址 映射成为物理地址,或者将物理地址映 射成为IP地址。这就是地址解析问题 (Address Resolution Problem)。
2020/10/13
21
地址解析协议ARP
2020/10/13
16
超网掩码
与子网掩码相反,超网掩码中“1”的个数比该类地址 的默认掩码的“1”的个数少。把默认掩码中最右边某 些连续的“1”变为“0”,就可以得到超网掩码。
2020/10/13
17
2.6 无分类编址CIDR
无分类编址消除了传统的A类、 B类和C类地址的概念,使用不属 于任何类的可变长度块,从而可以 更加有效地分配IPv4的地址空间。
2020/10/13
13
子网掩码
类似于默认掩码,子网掩码也是一个32位地址,用 于屏蔽IP地址的一部分以区别网络ID、子网ID和主机 ID,并说明该网络是本地网络还是远程网络。
把默认掩码中最左边的某些连续的“0”变成“1”,就 可以得到子网掩码。
2020/10/13
14
子网划分
思科第二章247地址解析(ARP和RARP)精品PPT课件
一个C类网络192.25.48.0,IP为192.25.48.X (1<X<254)分配其物理地址为X,这样就建立了十分 简单的地址映射关系,每个主机要和另一个主机通信 时,已知IP地址,就可以简单的利用这个映射关系求 出其物理地址。
一般地,可以选择一个一般的映射
P=f(I),P为物理地址,I为IP地址。
28.10.2020
12
路由器删除ARP
28.10.2020
13
解释交换机工作过程
IP1 MAC1
IP3 MAC3
× Fa0/3
ARP IP3-MAC3 IP1-MAC1
Fa0/1
Fa0/2
IP2 MAC2
ARP IP1-MAC1 IP2-MAC2
28.10.2020
CAM Fa0/1-----Mac1 Fa0/2-----Mac2
HLEN :指定硬件地PL址EN长度:指定协议地O址pe长ra度tion :指定操作类型,
HardWare TYPE 请求(1P)r,o回t答o(c2)ol TYPE 说明:
HLEN
PLE说S地Ne明址nd:er HA :源主机O物p理eration SSeenndedreIPr:源H主A机IP地址
ARP格式,ARP分组没有固定的头格式, 这取决于各种网络中物理地址的长度,在 以太网中的格式如下图:
28.10.2020
10
ARP消息的格式 说明:
说明:
HardWare TYPE:硬件接口P类ro型to,c需ol 要T由YP目E :高层协议地址类型,由源
说标明主:机回应的,1是说以明太:网 主机提供说,明IP:地址为0800
地址解析问题:
在同一子网时,如何利用已知的目的主机的IP地址获得 其物理地址。
一般地,可以选择一个一般的映射
P=f(I),P为物理地址,I为IP地址。
28.10.2020
12
路由器删除ARP
28.10.2020
13
解释交换机工作过程
IP1 MAC1
IP3 MAC3
× Fa0/3
ARP IP3-MAC3 IP1-MAC1
Fa0/1
Fa0/2
IP2 MAC2
ARP IP1-MAC1 IP2-MAC2
28.10.2020
CAM Fa0/1-----Mac1 Fa0/2-----Mac2
HLEN :指定硬件地PL址EN长度:指定协议地O址pe长ra度tion :指定操作类型,
HardWare TYPE 请求(1P)r,o回t答o(c2)ol TYPE 说明:
HLEN
PLE说S地Ne明址nd:er HA :源主机O物p理eration SSeenndedreIPr:源H主A机IP地址
ARP格式,ARP分组没有固定的头格式, 这取决于各种网络中物理地址的长度,在 以太网中的格式如下图:
28.10.2020
10
ARP消息的格式 说明:
说明:
HardWare TYPE:硬件接口P类ro型to,c需ol 要T由YP目E :高层协议地址类型,由源
说标明主:机回应的,1是说以明太:网 主机提供说,明IP:地址为0800
地址解析问题:
在同一子网时,如何利用已知的目的主机的IP地址获得 其物理地址。
《ARP协议简介》课件
什么是ARP欺骗攻击?
一种网络攻击手段,攻击者伪造自己的MAC地 址,欺骗其他设备认为其是目标设备
如何防范ARP欺骗?
• 使用静态ARP表 • ARP协议的绑定功能 • 使用交换机的端口安全功能 • 限制ARP广播域
ARP与RARP的区别
ARP协议
解析IP地址,获取MAC地址
RARP协议
解ห้องสมุดไป่ตู้MAC地址,获取IP地址
3
优缺点
优点:简单、广泛应用;缺点:容易 遭到攻击,效率较低
ARP缓存表
什么是ARP缓存表?
储存最近查询到的MAC地 址,加快下次查询速度
如何查询ARP缓存表?
使用命令“arp -a”可以查看 所有的ARP缓存表内容
如何清空ARP缓存表?
使用命令“arp -d”可清空 ARP缓存表中所有内容
ARP欺骗攻击及防范
ARP协议的未来
虽然ARP协议在现代网络中仍得到广泛使用,但随着技术的发展和网络的升级,人们也在寻求更加安全、 高效、智能的协议来替代它。
总结
本次分享带您了解了ARP协议的概念、工作原理、缓存表、防范措施以及应用场景。虽然容易被攻击, 但ARP协议在IP通信中仍具有重要地位。
ARP协议简介
ARP协议(Address Resolution Protocol)是将IP地址映射成MAC地址的一种协 议。它是计算机网络中重要的协议之一。
ARP协议概述
1
功能说明
ARP协议解析IP地址,查询对应的MAC
工作流程
2
地址,保障IP通信
通过以太网广播询问目标设备的MAC
地址,获取其回应
ARP协议的应用
1 局域网中,主机之间的通信
ARP和IGMP协议介绍课件
ARP的作用
• ARP = Address Resolution Protocol,地址 解析协议
• 作用:确定三层IP地址对应的二层MAC地址。
ARP场景分析(1)
主机B
IP-A
IP-B
MAC-A
MAC-B
主机A广播ARP请求:有谁叫IP-B的,你的MAC地址是多少?
• 多播MAC地址就是范围在01:00:5E:00:00:00到 01:00:5E:7F:FF:FF内的MAC地址;
• 多播IP地址和MAC地址之间的映射关系; • 将MAC地址的前25位强行规定位01.00.5e,而后23位对应
IP地址的后23位,而组播IP地址的前4位均相同。如: IP地址: 1110yyyy.yxxxxxxx.xxxxxxx.xxxxxxxx MAC地址:00000001.00000000.01011110.0xxxxxxx.xxxxxxx.
• 主机B在自己的ARP缓存的表中记录A的MAC地址,
•
并向A发送ARP应答:我的MAC地址是MAC-B!
• 主机A收到B的ARP应答,得到B的MAC地址,记录在自己的ARP缓存中;
• 主机A和B开始正常通信;
ARP缓存与超时
• ARP记录在一个叫做ARP缓存的表中; • 每个ARP表项有一定的生存期,超过生存期后将
ARP病毒
• ARP flooding • ARP 欺骗 • ARP协议是建立在信任局域网内所有结点的基础
上的,它很高效,但却不安全;
• ARP是无状态的协议,不会检查自己是否发过请 求包,也不管(其实也不知道)是否是合法的应 答,只要收到目标MAC是自己的ARP reply包或 ARP广播包(包括ARP request和ARP reply), 都会接受并缓存;
网络工作原理PPT课件
表表示示层层头头
应应用用层层数数据据
传传输输层层头头
表表示示层层数数据据
网网络络层层头头
网络传层输数层据数据
数数据据链链路 层路头层头
网络网层络数层据数据
0101110101001000010
--应用层--
应用层数据
--表示层--
表示层头 表应示用层层数数据据
--传输层--
传输层头
传表输示层数据
--网络层-- 网络层头
• 由中央设备充当计算机通 信的中介
• 一台计算机发生故障,不 会影响到其他计算机;故 障容易排除;可扩展性好
• 中央设备发生故障时将导 致整个网络不能通信
• 成本高于总线型;最流行 的基本拓扑结构
4.4环形
• 环形拓扑:把计算机连成环状
• 原理:
• 优点: • 缺点: • 应用:
信号沿环的一个方向传播,依次通过每 台计算机,每台计算机都是一个中继器, 把信号重写一遍并传给下一台计算机
INTERNET保留的三 组为私网使用的IP地
址
• 10.0.0.0
IP地址的分配方法
• 手工分配/静态 • 自动分配/动态
• 6.4.6 ICMP:INTERNET控制消息协议
• 负责诊断和报告数据传输错误
• 6.4.7 IGMP:INTERNET组管理协议
• 用于多路广播,维护一组多路广播的IP地址列表
• C 192-223 28-2=254
• D 224-239 组播地址
• E 240-247 实验地址
几组特殊的IP地址
• 127.0.0.0——用于测试连接的内循环地址
• (网络ID)×××.(主机ID)255 ——广播 地址
ARP协议详解ppt课件
Arp只有两种封包:arp request和arp reply
最新编辑ppt
5
ARP-工作原理
每台主机或路由器都有一个ARP缓存表,用来保 存IP地址与MAC地址的对应关系。
以主机A(192.168.1.5)向主机B (192.168.1.1)发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标 IP地址。如果找到了,也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;
最新编辑ppt
10
ARP-分组格式
6. 发送方硬件地址、发送 方协议地址、目的硬件 地址和目的协议地址:它 们是可变长度字段。源 和目的硬件地址对应以 太网都是48位地址。源 和目的协议地址对应 IPv4协议是32位地址。
最新编辑ppt
11
ARP-分组格式
思考:各字段的填充值是什么?
对于一个 ARP 请求来说,除目的硬件 地址外的所有其他字段都有填充值。当 系统收到一份目的为本机的ARP 请求报 文后,它就把硬件地址填进去,然后用 两个发送端地址分别替换两个目的地址, 并把操作字段置为2,最后把它发送回去。
最新编辑ppt
6
ARP-工作原理
如果在ARP缓存表中没有找到目标IP地址, 主机A就会在网络上发送一个广播arp request,请求包中包含了A主机的ip地址 和mac地址。
网络上其他主机并不响应ARP询问,直接丢
弃,只有主机B接收到这个帧时,才以单播
方式向主机A做出回应arp reply,并带上自
ARP缓存表设置了生存时间TTL,在一段时间内(一般 15到20分钟,跟操作系统有关)如果表中的某一行没 有使用,就会被删除,这样可以大大减少ARP缓存表的
最新编辑ppt
5
ARP-工作原理
每台主机或路由器都有一个ARP缓存表,用来保 存IP地址与MAC地址的对应关系。
以主机A(192.168.1.5)向主机B (192.168.1.1)发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标 IP地址。如果找到了,也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;
最新编辑ppt
10
ARP-分组格式
6. 发送方硬件地址、发送 方协议地址、目的硬件 地址和目的协议地址:它 们是可变长度字段。源 和目的硬件地址对应以 太网都是48位地址。源 和目的协议地址对应 IPv4协议是32位地址。
最新编辑ppt
11
ARP-分组格式
思考:各字段的填充值是什么?
对于一个 ARP 请求来说,除目的硬件 地址外的所有其他字段都有填充值。当 系统收到一份目的为本机的ARP 请求报 文后,它就把硬件地址填进去,然后用 两个发送端地址分别替换两个目的地址, 并把操作字段置为2,最后把它发送回去。
最新编辑ppt
6
ARP-工作原理
如果在ARP缓存表中没有找到目标IP地址, 主机A就会在网络上发送一个广播arp request,请求包中包含了A主机的ip地址 和mac地址。
网络上其他主机并不响应ARP询问,直接丢
弃,只有主机B接收到这个帧时,才以单播
方式向主机A做出回应arp reply,并带上自
ARP缓存表设置了生存时间TTL,在一段时间内(一般 15到20分钟,跟操作系统有关)如果表中的某一行没 有使用,就会被删除,这样可以大大减少ARP缓存表的
ARP协议分析获奖课件
9
超时机制旳必要性
假设有两台计算机A和B,都连接到一种以太网上。 A已经发送了一种ARP祈求,B做出了应答,当然 此时A旳ARP缓存中就建立了有关B旳IP地址与物理 地址旳绑定。再假设应答后B出现故障。计算机A 不会接到任何有关该故障旳通告。而且,因为在A 旳ARP缓存中已经有了B旳地址绑定信息,A将继 续把分组发送给B。以太网硬件没有提供B不在线 旳指示,因为以太网并不为发送提供确保。这么, A没有方法懂得自己旳ARP缓存中旳信息什么时候 变成过时旳或错误旳。
1. ARP基本原理 地址转换协议ARP允许主机在只懂得同一物理网络上一种 目旳站IP地址旳情况下,找到目旳主机旳物理地址。
思绪:主机A要向主机B发送数据,A当然应该首先懂得B旳IP 地址,但未必懂得物理地址。为了根据B旳IP地址IB拟定 它旳物理地址PB,主机A向网上旳全部机器广播一种包括 IB旳ARP祈求;网络上全部机器均会收到这么信息包,但 因为信息包中包括了IB,只有主机B做出响应并发出一种 包括自己IP地址和物理地址(IB,PB)旳ARP应答。主机 A收到应答后,即取得主机B旳物理地址PB.。然后就用该 物理地址把IP分组直接发送给B。
20
字段阐明
当发出祈求时,发送方用目旳 IP地址(Target IP)字段提供目旳IP地址(对于ARP协议),在 “操作”域填入“1”(ARP祈求)。在目旳主 机响应之前,它填入所缺旳地址,互换目旳和 发送方地址对中数据旳位置,并把操作字段中 旳值改成改成应答代码,将“操作”域改为 “2”(ARP响应)。所以,一种应答携带了最 初祈求方旳IP和硬件地址,以及所寻找机器旳 绑定IP和硬件地址。
在ARP祈求报文中放入源站地址映射; 源站在广播自己旳地址映射时,网上全部主机
都将它存入高速缓存; 新主机入网时,主动广播自己旳地址映射。
超时机制旳必要性
假设有两台计算机A和B,都连接到一种以太网上。 A已经发送了一种ARP祈求,B做出了应答,当然 此时A旳ARP缓存中就建立了有关B旳IP地址与物理 地址旳绑定。再假设应答后B出现故障。计算机A 不会接到任何有关该故障旳通告。而且,因为在A 旳ARP缓存中已经有了B旳地址绑定信息,A将继 续把分组发送给B。以太网硬件没有提供B不在线 旳指示,因为以太网并不为发送提供确保。这么, A没有方法懂得自己旳ARP缓存中旳信息什么时候 变成过时旳或错误旳。
1. ARP基本原理 地址转换协议ARP允许主机在只懂得同一物理网络上一种 目旳站IP地址旳情况下,找到目旳主机旳物理地址。
思绪:主机A要向主机B发送数据,A当然应该首先懂得B旳IP 地址,但未必懂得物理地址。为了根据B旳IP地址IB拟定 它旳物理地址PB,主机A向网上旳全部机器广播一种包括 IB旳ARP祈求;网络上全部机器均会收到这么信息包,但 因为信息包中包括了IB,只有主机B做出响应并发出一种 包括自己IP地址和物理地址(IB,PB)旳ARP应答。主机 A收到应答后,即取得主机B旳物理地址PB.。然后就用该 物理地址把IP分组直接发送给B。
20
字段阐明
当发出祈求时,发送方用目旳 IP地址(Target IP)字段提供目旳IP地址(对于ARP协议),在 “操作”域填入“1”(ARP祈求)。在目旳主 机响应之前,它填入所缺旳地址,互换目旳和 发送方地址对中数据旳位置,并把操作字段中 旳值改成改成应答代码,将“操作”域改为 “2”(ARP响应)。所以,一种应答携带了最 初祈求方旳IP和硬件地址,以及所寻找机器旳 绑定IP和硬件地址。
在ARP祈求报文中放入源站地址映射; 源站在广播自己旳地址映射时,网上全部主机
都将它存入高速缓存; 新主机入网时,主动广播自己旳地址映射。
ARP协议PPT课件
(3)创建一个高速缓存项目,状态为PENDING且尝试ATTEMPTS置为1。
(4)广播发送ARP请求。
5.返回
第19页/共28页
ARP设计(续)
④输入模块
等待到ARP分组到达,工作流程如下:
输入模块
1.睡眠,直到ARP分组(请求或应答)到达。 2.检查高速缓存表,寻找对应于这个ARP分组(源IP、源物理地址)的项目。 3.若(找到) (1)若(状态是PENDING)
状态 队列 尝试 超时 协议地址
硬件地址
R
5
900 180.3.6.1
ACAE32457342
P
2
2
129.34.4.8
P
14 5
201.11.56.7
R
8
450 114.5.7.89
457342ACAE32
P
12 1
220.55.5.7
F
R
9
60
19.1.7.82
4573E3242ACA
P
18 3
<2>:如果没有,运行ARP进程。工作过程:
• A的ARP进程广播发送ARP请求分组 • 不是B,不理睬,丢弃 • B响应,向A发送ARP响应分组 1) 主机A收到,得到,写入缓存
第4页/共28页
ARP协议应当注意的问题
•
ARP将保存在高速缓存中的每一映射地址项目都设置生存时间,凡是超过生存
时间的项目就从高速缓存中删掉。
第13页/共28页
四、逆地址解析协议 RARP
• 逆地址解析协议 RARP 使只知道自己硬件地址的主机能够知道其 IP 地址。 • 这种主机往往是无盘工作站。 因此 RARP协议目前已很少使用。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ARP扫描
ARP攻击也包括ARP扫描(或称请求风暴) 即在网络中产生大量ARP请求广播包,严重占用网络带宽资源, 使网络阻塞。 ARP扫描一般为ARP攻击的前奏。
ARP欺骗危害
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局 域网都无法上网,严重的甚至可能带来整个网络的瘫痪。 受到ARP攻击的计算机一般会出现的现象:
二、ARP工作原理(重点)
从ARP工作原理我们印证以下几个问题:
ARP的概念
ARP广播时发送ARP包(request),那么包内容有什么?
ARP有回应的包(replay),它的内容是什么?
ARP不进行校验正确性,有效性
三、ARP欺骗攻击
ARP欺骗攻击
主机欺骗 网关欺骗
二、ARP工作原理
紧急事件:一名警察到校寻找某校三年二班周晓晓同学。
告知身份 广播找人 记录位置
二、ARP工作原理(重点)
192.168.1.1 ping 192.168.1.2 1、应用程序构造数据包,该示例是产生ICMP包,被提交给 内核(网络驱动程序); 2、内核检查是否能够转化该IP地址为MAC地址,也就是在 本地的ARP缓存中查看IP-MAC对应表; 3、如果存在该IP-MAC对应关系,那么跳到步骤7;如果不 存在该IP-MAC对应关系,那么接续下面的步骤;
四、ARP 防御措施(重点)
2、 应急处理: 在被攻击主机192.168.0.10上清除ARP缓存arp –d, 使用arp –s命令静态绑定arp条目, 使用ping命令,
ping网关,确认被攻击主机能够正常访问网络;
Arp –s 192.168.0.10 00-e0-eb-81-85 在交换机上静态绑定ARP条目。
三、ARP欺骗攻击
IP地址:ipx MAC地址:macx IP地址:ipg MAC地址:macg 路由器
我是A IP地址:iБайду номын сангаасa MAC地址:macx
主机X
1、中间人攻击 2、网关欺骗
交换机
我是网关 IP地址:ipg MAC地址:macx
主机A IP地址:ipa MAC地址:maca
主机B IP地址:ipb MAC地址:macb
通过划分VLAN和交换机端口绑定。做法是细致地划分VLAN,减小广播 域的范围,使ARP在小范围内起作用。同时,一些网管交换机具有MAC 地址学习的功能,学习完成后,关闭这个功能,就可以把对应的MAC和 端口进行绑定,避免了病毒利用ARP攻击篡改自身地址。
缺陷
没有对网关的任何保护,不管如何细分VLAN,网关一旦被攻击,照样会 造成全网上网的掉线和瘫痪。 把每一台电脑都牢牢地固定在一个交换机端口上,这种管理太死板。 实施交换机端口绑定,必定要全部采用高级的网管交换机、三层交换机, 整个交换网络的造价大大提高。
网关欺骗
伪造网关,欺骗内网计算机,造成断网。 建立假网关,让被它欺骗的计算机向该假网关发数据 ,而不是发给路由器。这样无法通过正常的路由器途
径上网,在计算机看来,就是上不了网,即网络掉线
或断网了。
三、ARP欺骗攻击
IP地址:ipx MAC地址:macx IP地址:ipg MAC地址:macg 路由器 主机X 1、中间人攻击 2、网关欺骗 3、泛洪攻击 交换机
缺陷:
Arp –d可清空缓存表 交换机静态绑定费时费力,流动电脑无法管理 ARP攻击任然发出在内网传输,只是终端不接受
防范ARP措施的分析
2、ARP个人防火墙 针对攻击目的: 针对攻击欺骗有效,对ARP恶意攻击不起作用。
在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终 端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而 保护自身数据不被窃取的措施。
ARP的功能
以太网设备都有自己全球唯一的MAC地址,它们
是以MAC地址来传输数据包的。但以太网设备却 无法识别IP数据包中的IP地址,所以要在以太网
中IP通信,就需要转换一下协议来建立IP地址与
MAC地址的对应关系,使IP数据包能够发送到一
个确定的主机上,这种功能是由ARP来实现的。
即:用来实现IP地址到MAC地址的映射。
二、ARP工作原理(重点)
4、内核进行ARP广播,目的地的MAC地址是FF-FF-FF-FFFF-FF,ARP命令类型为REQUEST(1),其中包含有自 己的MAC地址; 5、当192.168.1.2主机接收到该ARP请求后,就发送一个 ARP的REPLY(2)命令,其中包含自己的MAC地址; 6、本地获得192.168.1.2主机的IP-MAC地址对应关系,并保 存到ARP缓存中; 7、内核将把IP转化为MAC地址,然后封装在以太网头结构 中,再把数据发送出去;
ARP防御措施总结
1. 在客户端安装ARP防火墙,手动绑定网关的ARP信息;
目的:避免ARP欺骗攻击——伪造网关,截获数据;
2. 路由器上做IP-MAC表的绑定工作;
目的:避免ARP欺骗攻击——截获数据;
3. 细分VLAN
目的:减小广播域的范围,使ARP在小范围内起作用,而不至于 发生大面积影响;
中间人攻击
欺骗主机作为“中间人”,被欺骗主机的数据都经它中转,以窃 取被欺骗主机间的通讯数据。 假设一网络环境中有三台主机分别为A、B、C A- IP:192.168.10.1 MAC:AA-AA-AA-AA-AA-AA B- IP:192.168.10.2 MAC:BB-BB-BB-BB-BB-BB C- IP:192.168.10.3 MAC:CC-CC-CC-CC-CC-CC B给A应答IP是192.168.10.3 MAC是BB-BB-BB-BB-BB-BB B给C应答IP是192.168.10.1 MAC是AA-AA-AA-AA-AA-AA B对A伪装成C,对C伪装成A,A和C都被欺骗了!
ipa
ipb ipg …
Maca
Macb macg ….
主机A IP地址:ipa MAC地址:maca
主机B IP地址:ipb MAC地址:macb
泛洪攻击
MAC泛洪攻击是指攻击者向交换机发送大量伪
造的地址,使得交换机的MAC地址表溢出,从而 无法完成正常的数据转发。
三、ARP欺骗攻击
IP地址:ipx MAC地址:macx IP地址:ipg MAC地址:macg 路由器 主机X 1、中间人攻击 2、网关欺骗 3、泛洪攻击 交换机 4、ARP扫描 5、IP冲突 主机A IP地址:ipa MAC地址:maca 主机B IP地址:ipb MAC地址:macb
不断弹出“本机的0-255段硬件地址与网络中的0-255
段地址冲突”的对话框。 计算机不能正常上网,出现网络中断的症状。
四、ARP 防御措施(重点)
1、确认攻击
访问其它站点断断续续 cmd中输入arp –a,每隔几分钟用这个命令,查看本地客户端arp 缓存表内容是否有很多条,查看同一个网关IP对应的MAC地址是 否有变化(如果有这种现象,则可以确定是针对终端的ARP欺骗 攻击,否则很有可能是针对网关的欺骗攻击,或者广播风暴引起 的掉线和卡); 运行多次arp –a,列表仍然是空的,ping其它活动的机器,列表仍 然是空的; 在网关上查看IP—MAC地址表,每隔几十秒,导出完整的IP-MAC 地址表,对照两 个地址表,其中IP-MAC对应关系经常改变的端 口,就是被攻击者;
1、2是定位问题,并应急处理问题,保证被攻击对象能够正常访问网络。 原则:先保证被攻击对象能够正常访问网络,再查看攻击源。
四、ARP 防御措施(重点)
3、定位攻击源MAC(抓包是定位问题的关键,可以确定攻击目标、 攻击目的、攻击源): 在相关网段上进行抓包(如iptool )。装有抓包工具的PC接入交换 机,定位发送伪网关ARP包的机器,分析攻击者源MAC地址; 欺 骗攻击数据包特点:ARP攻击数据包为ARP应答包,数据包中的 应答的IP和MAC的对应关系是实际不存在的。
ARP泛洪攻击 ARP扫描攻击 IP冲突
三、ARP欺骗攻击
IP地址:ipx MAC地址:macx 路由器 主机X 1、中间人攻击
交换机
我是B IP地址:ipb MAC地址:macx
我是A IP地址:ipa MAC地址:macx
主机A IP地址:ipa MAC地址:maca
主机B IP地址:ipb MAC地址:macb
个人防火墙缺陷:
它不能保证绑定的网关一定是正确的。 2ARP是网络中的问题,ARP既能伪造网关,也能截获数据ARP个 人防火墙起到的作用,就是防止自己的数据不会被盗取,而整个 网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的。
防范ARP措施的分析
3、VLAN和交换机端口绑定 针对攻击目的: 针对攻击欺骗有效;对ARP恶意攻击不起作用。
6、清除攻击源
清除可疑进程,启动项,可疑程序。使用ARP杀毒软件,在攻击 源上查杀ARP攻击工具;
7、完成
将非法扫描计算机的进程信息、系统日志信息、网络连接状态、 帐户、已开启服务、可疑程序等信息采用文本导出、截图等方式 保存到移动存储介质中供日后分析参考;
5、6是清除攻击源上的攻击程序,彻底查杀攻击源。
谢谢听讲
背景
在局域网上网,有时候会遇到“断网”或“掉线”的情况 。究其原因真是ARP欺骗攻击。 如果装有杀毒软件,则会拦截这些攻击,并予以提示,如 右图所示。 那么,什么是ARP欺骗 攻击?让我们慢慢揭 开其神秘面纱。
ARP 欺 骗
授课内容
一、ARP概念 二、ARP工作原理(重点) 三、ARP欺骗攻击 四、ARP防御措施(重点)
ARP防御措施总结
1、ARP攻击只能有效预防,不能彻底根治,除非找到攻击 源; 2、所有的防御只是针对ARP欺骗攻击有效,对ARP广播风 暴攻击不起作用,如掉线、卡滞等,这些防御措施无能为 力(只有找到攻击源,才能彻底解决ARP攻击。所以客户 端的防病毒系统非常重要,只有保证了客户端系统的安全, 才能保证攻击源的彻底消失)。