TCP/IP-ARP 网络攻击与欺骗

一.什么是 ARP

.ARP: 地址解析协议

是根据 IP 地址获取物理地址的一个 tcp/ip 协议。主机发送信息时将包含目标 IP 地址的 ARP 请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该 IP 地址和物理地址存入本机 ARP 缓存中并保留一定时间，下次请求时直接查询 ARP 缓存以节约资源。

作用： 把已知 IP 地址，解析成 Mac 地址

网络通信的基础协议注：ARP协议分为两种包类型    ARP request       请求包    ARP reply       回应包

二.ARP 攻击和欺骗

1.ARP 攻击是利用 ARP 协议设计时缺乏安全验证漏洞来实现的，通过伪造 ARP 数据包来窃取合法用户的通信数据，造成影响网络传输速率和盗取用户隐私信息等严重危害。

2. 利用 ARP 协议的漏洞（无分辨接受任何主机的 arp 回应包），伪造任何主机的 Mac 地址 arp 攻击：无法通信 arp 欺骗：窃取数据

1.arp攻击实现方式：

    欺骗其他所有计算机：制造假的arp应答，并发送给局域网中除了被攻击主机以外的计算机，应答包中包含被攻击者的ip和虚假mac地址    欺骗被攻击计算机:   制造假的arp应答,并发送给被攻击的计算机，应答包中包含其它计算机的ip和虚假的mac地址
2.arp欺骗的实现方式：

    ARP欺骗网关(冒充网关):arp应答包中包含网关的ip地址和攻击者的mac地址    ARP欺骗网关(冒充主机):arp应答包中包含主机的ip地址和攻击者的mac地址

总结：arp 攻击： 攻击者向被攻击者发送错误的 macarp 欺骗： 攻击者向被攻击者自己的 mac

三.防范 ARP 攻击

1.静态绑定 ARP

真实环境不太现实 必须在主机和网关双向绑定主机上绑定先查看网卡的 idnetsh interface ipv4 show neighbors 再进行绑定语法：netsh interface ipv4 set neighbors 网卡 id 目标主机 ip 地址 目标主机 mac 地址示例：netsh interface ipv4 set neighbors 11 10.0.0.178 00-1a-e2-df-07-41 如果是 xp 系统用：arp -s 目标主机 ip 地址 目标主机 mac 地址

网关路由器上绑定    语法：Router(config)#arp 目的主机ip地址 目标主机mac地址 arpa 接口    示例：Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0
交换机上绑定    语法：Switch(config)#arp 目的主机ip地址 目标主机mac地址 arpa 接口    示例：Switch(config)#arp 10.0.0.12 90fb.a695.4445 arpa f0/2查看arp缓存表：arp  -a清除arp缓存表：arp  -d

2.安装 ARP 防火墙

安装 ARP 防火墙或企业级防火墙（自带 ARP 防火墙功能）

四.查找 ARP 攻击的计算机

例：MAC地址为真实计算机地址    查看网络信息记录表迅速定位计算机    MAC地址为虚假地址查看交换机的MAC地址表，确定此MAC所属端口    Switch#show mac address-table address 001f.caff.1003

五.分析 arp 包

例： arp 请求包 opcode 1 (arp request)sender's hardware address = 000c298f72ddsender's protocol address = 192.168.0.1Target's hardware address = 000000000000Target's protocol address = 192.168.0.2

        arp应答包    opcode 2 (arp reply)    sender's hardware address = 000c29743dcc    sender's protocol address = 192.168.0.2    Target's hardware address = 000c298f72dd    Target's protocol address = 192.168.0.1

六.抓包工具

sniffer

wireshark

创作不易，点赞，收藏，评论，谢谢各位大佬！！