ARP-中间人攻击原理.pptxVIP

ARP中间人攻击1.ARP攻击种类2ARP中间人攻击原理：1.ARP缓存表建立流程2.中间人会话劫持3.ARP中间人攻击操作实现4.反ARP欺骗攻击：PC端预防ARP攻击交换机预防ARP欺骗TPLINKHOME

1.IP地址冲突2.ARP欺骗攻击：1.中间人攻击2.多主机欺骗和拒绝服务式攻击3.虚拟主机攻击3.ARP泛红和溢出式攻击ARP攻击种类

PC层面-----1.主机A发送数据到主机D查找自身主机的ARP缓存表，若自身缓存表没有主机DMAC地址与IP地址的对应关系则发送广播地址为FF:FF:FF:FF:FF:FF的ARP请求报文到交换机。2.交换机泛洪使处于同一广播域内的除主机A的所有主机都会受到来自ARP请求报文。3.每一台主机都会拆开主机A的ARP请求报文若目的主机不是本机的的IP地址则会丢弃。4.与此同时主机D发现主机A的ARP请求报文有主机D的IP地址，然后将主机A的Mac地址和IP地址映射关系加入本地的ARP缓存表并且将发送一个包含主机D的Mac地址和IP地址的ARP应答包以单播形式发送给主机AARP缓存表建立流程

交换机层面-------1.主机A广播ARP请求包到与交换机直连端口.交换机会对建立一个关于主机A的MAC地址端口号VLAN的对应关系并加入CAM表表象。2.主机D在发送应答包到与交换机直连端口的同时也建立了一个和主机A一样CAM表表象。至此主机A在局域网内与主机的D的邻居关系就算建立完成了。在这里我给大家留一个问题难道这样的邻居关系真就安全可靠吗？ARP缓存表建立流程

ARP发包流程

主机依靠发送ARP报文来建立联系，如果第三方主机通过发送虚假的ARP应答包来插手两台主机间的会话，建立类似中转站的连接关系那么我们可以称之为中间人欺骗攻击或者会话劫持。当主机收到一个ARP的应答包后，它并不会查找自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与和其宣布的IP地址保存，覆盖以前cache的同一IP地址和对应的MAC地址。交换机在包转发时只根据端口号VLAN与MAC地址的对应关系转发ARP报文而不会比对IP地址。这给非法主机创造了机会中间人欺骗攻击

主机C希望劫持通过主机A与主机D的数据包了解主机A发送的信息。1.主机C查看本地的ARP缓存表得知主机A主机D的IP地址与MAC地址。2.主机C通过数据包生成器生成一个目的地址主机A的ARP应答包将源IP地址改为主机D而源MAC地址则为主机C的MAC地址。同理生成一个发往主机D的ARP应答包。3.将两个ARP应答包分别发给主机A主机D一次ARP中间人攻击就实现了中间人欺骗攻击

中间人攻击流程

1.手工绑定：

确定用户计算机所在网段，查出用户网段网关IP。根据网关IP查出用户网段网关Mac。本地查询:用命令arp-s网关IP网关MAC?静态绑定网关IP和MAC2.软件设置：安装软件防火墙例如360ARP防火墙通过主动监测实防范MAC地址篡改PC端预防ARP攻击

交换机预防ARP攻击在交换机上对IP地址和MAC地址进行静态绑定DAI——利用DHCPsnooping检查所有非信任端口（DHCPsnooping截获DHCP应答报文并建立一个含有MAC地址IP地址租用期VLANID和端口好的表象），包括DHCP绑定信息和ARP应答的IP地址一旦遇见不合法的ARP报文将被拒绝转发。当发生ARP拒绝服务式攻击时端口发送ARP数据包超过一定速率交换机将端口置于错误禁用状态。直到端口恢复解除错误禁用

谢谢观赏