ARP攻击及防御技术.pptVIP

ARP攻击与防御技术 ARP欺骗原理及过程 1、地址解析协议的基本原理 地址解析协议（Address Resolution Protocol，ARP）是一种将IP地址转化成物理地址的协议，它工作在TCP/IP的第三层。 具体来说，将网络层即IP层地址解析为数据链路层MAC层的MAC地址。 地址解析：主机在发送帧前将目标IP地址转转成目标MAC地址的过程。 ARP的基本功能：就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 所以局域网内每台主机都保存一个ARP缓存列表，（IP-MAC对应表），并且根据网络状态动态更新。 ARP命令简介 常用命令选项： ① arp –a：用于查看高速缓存中的所有项目。 ② arp -a IP：如果有多个网卡，那么使用arp -a加上接口的IP地址，就可以只显示与该接口相关的ARP缓存项目。 ③ arp -s IP 物理地址：向ARP高速缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。 ④ arp -d IP：使用本命令能够人工删除一个静态项目。 ARP广播过程 某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。 如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。 网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。 接着使用这个MAC地址发送数据（由网卡附加MAC地址）。 ARP探测 ARP协议封装结构 请求和回应过程： 主机发送广播请求解析 2、ARP欺骗的基本原理 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充路由伪造来的，即IP地址为C的IP，而MAC地址是路由的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经路由的了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个C的MAC地址在A上被改变成路由的MAC地址，这样就会造成A所发送到路由的数据会被发送到C！这就是一个简单的ARP欺骗。这时A上网时就会掉线，而且数据就不安全了。 3、ARP攻击计算机的现象与原因 （1）能ping通局域网内的其他计算机，但ping不通网关，无法连接到Internet。 （2）能ping通局域网内的其他计算机，但ping不通网关，但是却能连接到Internet。 原因： （1）当中ARP的计算机向网关路由发出请求时，网关路由的ARP缓存表中保存的是未中毒前的计算机MAC地址。计算机可以连接到外网。 （2）当中ARP的计算机向网关路由发出请求时，网关路由接收到该消息，并进行了修改假的MAC地址与其IP地址相对应，从而建立新 ARP缓存，从而导致计算机无法连接到外网。 4、对策 1、在路由上绑定所有客户机地址。 arp –s IP MAC(单绑) 2、在客户机绑定路由地址（双绑） 3、在客户机绑定本机地址（三绑） Have a rest! Thank you! See you next time! 参考网址 黑客基地： 黑客论坛： 课后操作与习题 1、说明你经历过哪些计算机网络安全事件，并分析其原因和解决过程。 2、下载安全卫士（或超级兔子、瑞星卡卡助手等）对你计算机进行漏洞扫描，请写出哪些需要手动设置的。 Have a rest! Thanks ！ 下一讲内容： * * ARP广播过程 某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地 址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个 ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为 Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有 主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包 含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着 使用这个MAC地址发送数据（由网卡附加MAC地址）。 因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个 缓存是动态的。 我需要的MAC地址 我听了广播，就是我，这是我