ARP:地址解析协议 / 将一个已知的ip地址解析成MAC地址
广播与广播域:
广播:将广播地址作为目的地址的数据帧
广播域:网络中能接收到同一个广播所有节点的集合
MAC地址广播:
广播地址为:FF-FF-FF-FF-FF-FF
IP地址广播:
1,255.255.255.255
2,广播IP地址为IP地址网段的广播地址,如192.168.1.255/24
ARP解析MAC地址过程:ARP单独发送一段ARP报文广播,里面说明了我的ip是多少,我的MAC地址是多少,我要寻找ip地址为xxx.xxx.xxx.xxx的MAC地址,然后发送给链路层封装帧头帧尾,通过交换机所有端口转发广播,广播MAC地址为FF-FF-FF-FF-FF-FF表示广播给当前网络下所有的MAC地址,直到有人回应,我是广播里面要找的那个ip,再回应给源ARP。(发送的广播称之为:广播请求。回应广播称之为:回应单播)
ARP解析MAC地址过程专业术语:
1,pc1发送数据给pc2,查看ARP缓存有没有pc2的MAC地址,
2,pc1发送ARP请求广播消息
3,局域网下所有的主机收到ARP请求广播消息pc2回复ARP应当(单播) // 回应消息回到pc1主机上面之后,采用的是谁的消息最后到,就采用谁的消息,其它主机丢弃广播消息。
4,pc1将pc2的MAC地址保存到缓存中,发送数据。
APR缓存:每次电脑与另外一台电脑进行通信之后,为了不再重复性的广播ARP都会生成一个ARP缓存。
查看本地电脑的ARP缓存:cmd/ ARP -a
ARP攻击:通过发送虚假的ARP报文请求,或者ARP的应答请求,可以使其对方断网。
ARP欺骗:通过发送伪造的虚假的ARP报文 (广播或者单播) // 可以通过发送虚假的广播或者单播欺骗其它主机我是网关,可以截取到局域网的网络流量。
如果虚假报文的MAC地址是伪造的不存在的,实现ARP攻击,结果为中断通信/断网
如果虚假报文的MAC地址是攻击者自身的MAC地址,实现ARP欺骗,结果可以监听,窃取,篡改,控制流量,但不中断通信。
产生ARP攻击漏洞的原理:ARP协议没有验证机制,我说我是谁,我的MAC地址是什么就是什么。
ARP攻击防御:
1,静态ARP绑定:手工在主机和网关路由器上面双向添加ip和MAC地址的绑定,能有效避免中间人进行ARP投毒。 // 一般在主机较少的情况下使用,比如用在服务器上。
2,ARP防火墙:自动进行静态ARP绑定,主动防御,不断的发ARP报文数据包证明我是我。 // 缺点:增加网关负担。
3,硬件级ARP防御:购买企业级支持ARP防火墙的交换机,只要主机和交换机端口网线连接一插上,端口就把当前ip和,MAC地址进行了一个动态绑定,只要发ARP报文,IP和MAC地址和交换机端口上绑定的不一致,就会把ARP报文杀死,或者直接把该端口给down掉。
下一篇:如何批量更改文件的后缀教程