ARP及ARP防护.pptVIP

ARP及ARP防护 ARP协议原理 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面有目标主机的MAC地址； 在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。 ARP协议的基本功能就是主机在发送报文前将目标主机的IP地址解析成目标主机的MAC地址，以保证通信的顺利进行。 ARP协议原理 Arp request和reply的数据帧长都是42字节（28字节的arp数据、14字节的以太帧头） ARP协议原理 ARP协议原理 正常的ARP通讯过程只需ARP Request和ARP Replay两个过程，简单的说就是一问一答： ARP协议原理 主机发送给网关的ARP Request报文 ARP协议原理 网关回应给主机的ARP Reply报文 ARP协议原理 提示: 收到广播消息的主机都更新关于发送广播消息的主机的ARP缓存。 ARP攻击方式 人生目标 我要”拿” ARP攻击方式 Arp flood arp 泛洪，只要是瞬间发送大量的arp数据包给switch，填满switch的mac table，导致无法switch工作异常， 提示：这时switch就会象hub一样工作 ARP攻击方式 ARP攻击方式 Arp spoof－可以欺骗主机，也可以欺骗网关 ARP攻击方式 gratuitous arp 免费arp， 原理： 1.gratuitous arp也是arp request的一种，所以是 broadcast,就是群发，就是搞的地球人都知道 2. gratuitous arp的arp报文中，源ip和目的ip是 一样的，就是为了再次确认网络中身份。 ms的ip地址冲突监测机制就是通过 免费arp实现的 ARP攻击方式 免费arp的精髓 前文书说到构建arp spoof的简易方式。 这里我有一个疑问，如果攻击者不让其中的1个用户访问任何地址，是否需要发送整个网段的错误的mac地址给 受害主机？？？ 答案是 NO 如果这样劳命伤财，不是好办法！ 只要代表受害主机发送错误的gratuitous arp。1个arp报文足以！当然arp table有老化时间，不过谎话不停的说，说了多次，就变成“真”di了 这样网络中的其他主机都收到错误的mac地址的arp报文进行更新自身的arp cache。于是灾难就这样发生了！ 免费arp的工作原理 ARP攻击方式 Arp proxy arp 代理：arp proxy是arp的攻击之首， 这也是传说的“中间人”攻击！ 原理: 双向arp spoof ARP攻击方式 ARP攻击方式 ARP攻击方式 ARP防护 电脑绑定arp arp -s 12 00-aa-00-62-c6-09 备注:arp –a arp –d @echo off arp -d arp –s网关LAN IP网关LAN MAC ARP防护 AntiARP防火墙、瑞星个人防火墙2008、360ARP防火墙等 原理:拦截ARP的攻击或者是IP冲突，保障系统不会受ARP攻击的影响 ARP防护 NBR的免费arp NBR的8.41b5后推出免费arp的功能！ 当前最新正式发布版本是8.5b9! 目的是通过不断的gratuitous arp的broadcast宣告自己的正确mac。现在是每秒1个gratuitous arp报文。 Ip和mac的绑定 该功能只是该ip只响应绑定的mac，如果更换ip，就有可以正常上网，并不是该mac一定只能使用该ip才能上网，这个是一定要区分清楚的！除非绑定一个子网 ARP防护 NBR免费arp的配置 conf t int f 0/0 arp gratuitous-send interval 1 NBR的ip和mac的绑定设置 conf t arp 00d0.f811.2233 arpa ARP防护 21交换机1.65后的功能 anti-arp-spoof 21设置anti-arp-spoof实现机制的阐释 只要监测到源ip是gateway ip的arp报文直接drop掉 正常端口下的arp request和arp reply报