ARP协议详解与安全防范：从基础到实践.pptxVIP

ARP攻击

北京医院脑科脑移植专家3+

ARP

OSI7层模型

ARP协议概述

ARP工作原理

ARP常用命令

ARP缓存

ARP攻击的方式

嗅探和ARP欺骗的区别

RARP

七层模型

应用层

表示层

会话层

传输层

网络层

数据链路层

物理层

ARP协议概述

地址解析协议

以太网上的ARP报文格式

ARP工作原理

高速缓存

举例: 同一网段的ARP欺骗

A:ip地址192.168.0.1硬件地址AA:AA:AA:AA:AA:AA

B:ip地址192.168.0.2硬件地址BB:BB:BB:BB:BB:BB

C:ip地址192.168.0.3硬件地址CC:CC:CC:CC:CC:CC

同一网段的arp欺骗

具体的步骤:

1.他先研究192.0.0.3这台主机，发现这台主机的漏洞。

2.根据发现的漏洞使主机C当掉，暂时停止工作。

3.这段时间里，入侵者把自己的ip改成192.0.0.3

4.他用工具发一个源ip地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A，要求主机A更新自己的arp转换表。

5.主机更新了arp表中关于主机C的ip--mac对应关系。

6.防火墙失效了，入侵的ip变成合法的mac地址，可以telnet了。

Arp常用命令

确定网卡物理地址

查看高速缓存

命令:

arp-a或arp–g

arp-aIP

arp-sIP物理地址

arp-dIP

ARP缓存

每个主机都有一个ARP高速缓存表，这样避免每次发包时都需要发送ARP请求来获取硬件地址。利用arp

-a命令可以查看显示系统中高速缓存的内容。缓存表中的表项有过期时间(⼀般为20分钟),如果20分钟内没有再次使⽤某个表项,则该表项失效,下次还要发ARP请求来获得⽬的主机的硬件地址。

Windows下“arp

-d”命令可以清除arp高速缓存表。

ARP攻击的方式

仿冒网关攻击

仿冒用户攻击

ARP泛洪攻击

欺骗网关

欺骗用户

嗅探和ARP欺骗的区别

嗅探一般存在于共享网络中

嗅探在交换网络中不适用

共享网络中适用ARP欺骗

嗅探(被动嗅探)=!ARP欺骗(主动嗅探)

RARP概述及其工作原理

反向地址转换协议

工作原理

（1）源主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址；

（2）本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址；

（3）如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；

（4）如果不存在，RARP服务器对此不做任何的响应；

（5）源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。

总结

ARP欺骗