arp的攻击与防范Word文档格式.docx
《arp的攻击与防范Word文档格式.docx》由会员分享,可在线阅读,更多相关《arp的攻击与防范Word文档格式.docx(35页珍藏版)》请在冰豆网上搜索。
1.1ARP协议概述1
1.1.1地址解析报文格式1
1.1.2地址解析报文封装2
1.1.3反向ARP3
1.1.4代理ARP4
1.1.5无故ARP5
1.2ARP工作原理6
1.2.1ARP协议工作原理6
第二章ARP攻击9
2.1ARP攻击原理9
2.2ARP攻击造成的现象9
2.2.1网关仿冒9
2.2..2欺骗网关10
2.2.3欺骗终端用户11
2.2.4ARP泛洪攻击12
2.3ARP攻击种类13
2.3.1ARP泛洪攻击13
2.3.2ARP溢出攻击14
2.3.3ARP扫描攻击15
2.3.4虚拟主机攻击15
2.3.5“中间人”攻击15
第三章ARP的欺骗17
3.1基本的ARP欺骗17
3.2ARP欺骗种类及对象17
3.2.1ARP欺骗种类17
3.2.2ARP欺骗对象18
3.2.3ARP欺骗的危害20
3.3ARP欺骗的方式20
3.3.1同一网段的ARP欺骗20
3.3.2不同网段的ARP欺骗22
第四章ARP的检测23
4.1ARP攻击检测23
4.1.1网络主机侧攻击检测23
4.1.2网关设备侧攻击识别23
4.2ARP检测工具26
4.2.1使用防护软件27
第五章ARP防范28
5.1常用的防范方法28
5.1.1DHCPSnooping功能28
5.1.2ARP入侵检测功能29
5.1.3静态绑定30
5.1.4自定义ACL防范网关欺骗32
5.1.5ARP报文限速功能33
第一章ARP概述
1.1ARP协议概述
ARP协议和ICMP协议是常用的TCP/IP底层协议。
在对网络故障进行诊断的时候,它们也是最常用的协议。
ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写,是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
在局域网中,网络中实际传输的是“帧(frame)”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机或网关进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是通过ARP(地址解析协议)获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
ARP协议对网络安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
1.1.1地址解析报文格式
ARP和RARP都是通过一对请求和应答报文来完成解析的。
ARP和RARP请求应答报文格式是相同的,通过操作类型字段来区分,这个思想在TCP/IP协议的设计中被反复利用。
000102030405050607080910111213141516171819202122232425262728293031Bit
广播MAC地址(全1)
源MAC地址
协议类型
硬件类型
硬件地址长度
协议地址长度
操作类型
源IP地址
目标MAC地址(全0)
目标IP地址
图1.1地址解析报文格式
图1.1所示中黄色的部分是以太网(这里是EthernetII类型)的帧头部。
其中,第一个字段是广播类型的MAC地址:
0XFF-FF-FF-FF-FF-FF,其目标是网络上的所有主机。
第二个字段是源MAC地址,即请求地址解析的主机MAC地址。
第三个字段是协议类型,这里用0X0806代表封装的上层协议是ARP协议。
硬件类型:
16比特(2字节),定义ARP实现在何种类型的网络上,以太网的硬件类型值为“1”。
协议类型:
16位,2字节,定义使用ARP/RARP的协议类型,0x0800表示IPv4。
硬件地址长度:
1字节,以字节为单位定义物理地址的长度,以太网为6。
协议地址长度:
1字节,以字节为单位定义协议地址的长度,IPv4为4。
操作类型:
16比特,2字节,定义报文类型,1为ARP请求,2为ARP应答,3为RARP请求,4为RARP应答。
发送方硬件地址:
发送方的MAC地址,6字节。
发送方协议地址:
发送方的协议地址(IP),4字节,RARP请求中不填此字段。
目的硬件地址:
6字节,ARP请求中不填此字段(待解析)。
目的协议地址:
4字节,长度取决于协议地址长度,长度一共28字节。
1.1.2地址解析报文封装
ARP/RARP报文是作为普通数据直接封装在物理帧(以太网帧)中进行传输的,ARP/RARP报文封装在以太网物理帧中的格式如图1.2所示:
图1.2IEE802.2/802.3(RFC1042)和太网的封装格式(RFC894)以太网帧的封装格式
0x0806:
表示ARP类型,0X8035表示RARP类型。
ARP/RARP作为普通数据放在数据区,由于它(ARP/RARP报文)只有28字节,后面必须增加18个字节的填充PAD,以达到以太网帧的最小长度要求(46字节)。
1.1.3反向ARP
反向地址转换协议(RARP:
ReverseAddressResolutionProtocol)反向地址转换协议(RARP)允许局域网的物理机器从网关服务器的ARP表或者缓存上请求其IP地址。
它是用于把物理地址(MAC地址)转换到对应的IP地址。
例如,在无盘工作站启动的时候,因为无法从自身的操作系统获得自己的IP地址配置信息。
这时,无盘工作站可发送广播请求获得自己的IP地址信息,而RARP服务器则响应IP请求消息-为无盘工作站分配1个未用的IP地址(通过发送RARP应答包)。
当设置一台新的机器时,其RARP客户机程序需要向路由器上的RARP服务器请求相应的IP地址。
假设在路由表中已经设置了一个记录,RARP服务器将会返回IP地址给机器,此机器就会存储起来以便日后使用。
RARP可以使用于以太网、光纤分布式数据接口及令牌环LAN
反向ARP(RARP)在很大程度上已被BOOTP、DHCP所替代,后面这两种协议对RARP的改进是可以提供除了IP地址外的其它更多的信息,如默认网关、DNS服务器的IP地址等信息。
1.1.4代理ARP
代理ARP(PROXYARP)也被称作混杂ARP(PromiscuousARP)(RFC925、1027)一般被像路由器这样的设备使用--用来代替处于另一个网段的主机回答本网段主机的ARP请求。
下面是代理ARP的应用之一,如图1.3所示,主机PC1(192.168.20.66/24)需要向主机PC2(192.168.20.20/24)发送报文,因为主机PC1不知道子网的存在且和目标主机PC2在同一主网络网段,所以主机PC1将发送ARP请求广播报文请求192.168.20.20的MAC地址。
这时,路由器将识别出报文的目标地址属于另一个子网(注意,路由器的接口IP地址配置的是28位的掩码),因此向请求主机回复自己的硬件地址(0004.dd9e.cca0)。
之后,PC1将发往PC2的数据包都发往MAC地址0004.dd9e.cca0(路由器的接口E0/0),由路由器将数据包转发到目标主机PC2。
(接下来路由器将为PC2做同样的代理发送数据包的工作)。
这种ARP使得子网化网络拓扑对于主机来说时透明的(或者可以说是路由器以一个不真实的PC2的MAC地址欺骗了源主机PC1)。
图1.3代理ARP
1.1.5无故ARP
无故(GratuitousARP,GARP)ARP也称为无为ARP。
主机有时会使用自己的IP地址作为目标地址发送ARP请求。
这种ARP请求称为无故ARP,GARP,主要有两个用途:
1.检查重复地址(如果收到ARP响应表明存在重复地址)。
2.用于通告一个新的数据链路标识。
当一个设备收到一个ARP请求时,发现arp缓冲区中已有发送者的IP地址,则更新此IP地址的MAC地址条目。
如图1.4所示,显示了一台Cisco路由器在其加电启动后、引导过程中向网络宣布自己的一个以太网接口(Ethernet0)的MAC地址以及IP地址的包。
图1.4无故ARP
从图1.4中可以看出,这个ARP消息。
这个ARP包的源硬件地址(MAC地址)是路由器的这个接口的MAC地址,目标硬件地址(MAC地址)使用的是广播地址(FF-FF-FF-FF-FF-FF);
而源和目标协议地址(IP地址)都是此接口自身的IP地址。
此ARP包用于设备(路由器)向网络宣告自身的IP地址和MAC地址映射,也用于检查是否有重复(冲突)的IP地址。
ARP应答协议报文和ARP请求协议报文类似。
不同的是,此时,以太网帧头部的目标MAC地址为发送ARP地址解析请求的主机的MAC地址,而源MAC地址为被解析的主机的MAC地址。
同时,操作类型字段为1,表示ARP应答数据包,目标MAC地址字段被填充以目标MAC地址。
1.2ARP工作原理
ARP工作原理将IP地址翻译成MAC地址。
比如:
A机要与B机通讯在局域网中处在数据链路层。
这个层之间的主机互相通讯是通过MAC地址互相区分的。
所以主机A与主机B通讯主机A知道主机B的IP地址是不能通讯的,那么,主机A就要用ARP协议,通过,广播的方式去寻找主机B的MAC地址,当主机B接收到ARP的广播后,就会主动与主机A联系并告知主机A主机B的MAC地址是什么这样主机A知道了主机B的MAC地址后,就可以顺利的与主机B通讯了,进行ARP攻击最直接的方法,就是使用局域网中的一台机器去欺骗这个局域网里的其他机器让他们相信你使用的这台机器就是其他机器想要保持通讯的网关。
1.2.1ARP协议工作原理
ARP协议的工作原理在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。
当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。
如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;
如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是
升级会员 