网络安全之ARP欺骗防护
最后更新:2022-07-23 13:53:14 手机定位技术交流文章
ARP协议
什么是MAC地址
MAC地址是网络卡内嵌入的网络标识符,根据Iee802标准定义。
什么是广播
若要发送包到同一个网络段的设备,广播IP地址是同一个网络段的最后IP地址。
认识ARP协议
ARP的正式名称是地址分析协议,我们通过ARP协议获取对方的MAC地址,PC发送ARP协议包,通过交换机,到达目标IP地址的PC,获取对方的MAC地址,但ARP有一个局限性,也就是说,它必须在网络的同一部分,这意味着与地址信息交互的PC是在一个本地网络中。
ARP协议原理
ARP是一个可以被接收的请求包,只要它在网络的同一部分。
ARP协议(英语:ARP protocol)是TCP/IP模型网络层的协议,它是由传输层传递的数据段封装成的包,而对于包则只关心IP地址,因为网络层基于IP地址来识别包传给谁。
在网络传输中,数据链层中的包被包入以太网帧中,而以太网帧通过第一个MAC地址搜索设备,所以当我们发送数据到目标机器时,我们首先得到目标机器的MAC地址。
在数据链层上,以前端的MAC地址为基础,以Ethernet框架搜索目标机器的网络卡,并向它提供数据包。当目标机器接收数据包时,它决定该数据包的MAC地址是否与其自己的MAC地址相同,并将其上传。
也就是说,当我们不知道目标机器的MAC地址时,我们不能把包裹传给它,这个时候,然后我们使用了我们的ARP协议,也就是ARP请求,这个请求是一个广播包,它在同一的本地网络中要求,目标机器IP地址,它的MAC地址是什么?当目标机器接收这个广播包时,发现其IP地址是自己,这个时候,目标机器将以一种单一的方式广播,返回一个数据包,这个数据包里,这是我们想要的目标机器的MAC地址。
ARP缓存
现在,我们知道了,当我们向电脑机发送ARP请求时,它将以一种方式传播,询问目标机器的MAC地址,那如果,每次我们向目标发送数据包时,如申请ARP,就很麻烦了,这个时候,我们提出了ARP缓存表,将先前获得的IP地址与MAC地址匹配,存储下来,下次使用的时候,您可以直接调用ARP缓存表数据,访问目标IP地址。
通过使用ARP缓存,有效减少网络拥塞,在某种程度上阻止了大规模广播ARP,在一般情况下,ARP缓存不仅发送者将缓存MAC地址表,接收方也会,缓存MAC地址,有一定的有效期,过了这段时间,缓存就无效了。
ARP协议拓展
根据ARP协议,我们还提出了一个RARP协议,它的正式名称是逆地址分析协议,顾名思义,它的功能与ARP协议不同,通过MAC地址获取对方的IP地址,在这里,大家,它与 DHCP 协议有关,DHCP协议,它用于自动分配IP地址,它分配地址的原理,它基于RARP协议,将MAC地址转换为IP地址。
为了帮助您安全学习, 所有资源都可用.
①网络安全学习路线
220 渗透性测试电子书
③安全攻防357页笔记
450安全及防务面试指引
5安全红队渗透工具箱
6收集资料80字搜索语法
7100个在现实世界中出现的脆弱性案例
8安全工厂内部视频资源
CTF九年度旗帜分析
数据包结构
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ROpNw7Zk-1658488892426)(https://upload-images.jianshu.io/upload_images/26472780-fa4f91376576c91a.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]](http://static.wangsu123.cn/article/image/20220723/39afe255d6882c3041da957fd19b2088.png)
ARP协议包
实验环境:
PC 1: 物理机 win10 (IP:) [在这里启动虚拟机]
PC2:虚拟机kali(IP:192.168.42.128)
Wireshark(数据包流量捕获器)
根据我们使用的网络卡所选择的相应捕获选项,因为我们的卡利网络模式是纳特模式,我们选择了Vmnet8。
在物理机器上执行 Ping 命令,并输出以下信息
在Wireshark中选择ARP协议并查看抓取记录
查看被捕获的ARP数据包,第一个是ARP请求包
第一个帧包含有关数据包的详细信息,包括发送数据包的时间、数据包的大小和数据包的类型
第二帧表示以太网帧头部信息,其中源MAC地址为00:50:56:c0:00:08(物理机),目标MAC地址为ff:ff:ff:ff:ff:ff(广播地址)
第三帧的内容是ARP协议的内容,请求表示该包是一个请求包。 请求包的详细内容如下
我们用同样的方法分析了ARP的响应包
下面的内容显示了第一个帧包的细节,其大小为60字节
第二帧包含帧的标题信息,源 MAC地址(00:0c:29:01:7d:67),目标 MAC地址(00:50:56:c0:00:08),源 MAC地址是卡利,目标 MAC地址是物理机器
在第三帧中,响应表明该包是一个响应包
ARP协议和双主机的发现
二层主机发现
在TCP/IP模型中的链层中使用ARP协议,进行主机发现。优点是APP协议在本地网络中使用,本地网络中的包不通过路由器,所以更快了。而且这些包不会被过滤,这样我们就可以确保我们的数据包达到目标,并接受对目标的反应,这证实了目标的存在。坏消息是,只有一个儿童网,进行二层发现。
Kali linux Netdiscover是一个独立的工具,可以扫描多个主机以寻找一个特定的子网。
-i指定你的网卡
-r扫描指定范围
-l载入我们想要扫描的范围的文件
-p不发送任何的数据包,只做为嗅探,这样的一个过程,是不会被我们网络当中的设备发现,因为它只进行嗅探,将数据包发送到目标去,它就会确认当前主机是存活状态
让我们试一下 Command
netdiscover -r 192.168.42.1/24
这证明了这些子网的IP地址是活的
ARP地址欺骗
通常: 当连接目标到出口路由器时,当访问外部网络时,数据被发送到出口路由器,而数据则由出口路由器发送到外部网络。
不正常的情况下:攻击者欺骗靶机,告诉他出口路由器是我的MAC地址,靶机相信了他的话,把访问外网的数据包错误的发送给了攻击者的MAC地址,导致靶机收不到外网返回的数据包,导致断网,这就是ARP欺骗。
ARP地址欺骗过程
首先,我们准备了两个虚拟机器,一个叫卡利,用来作攻击者,另一个叫Winserver2003作为目标,两个虚拟机网络模式,都使用Nat模式,在同一本地网络下。
在第一步中,Netdiscover在网络的同一部分找到主机并搜索攻击目标
netdiscover -r 192.168.42.1/24
192.168.42.1是本机的IP地址,192.168.42.2是虚拟机的网关、192.168.42.236是靶机的IP地址
第二步是确认攻击目标处于网络状态
然后攻击攻击者卡利
arpspoof -i eth0 -t目标IP地址目标网络交换机
arpspoof -i eth0 -t 192.168.42.236 192.168.42.2
//欺骗主机192.168.42.236,网关192.168.42.2mac地址是卡利虚拟机物理接口 et0的mac地址
看到靶机无法上网
然后停止攻击袭击者卡利
ctrl+z
在等待一段时间后,目标机器被恢复了
ARP地址欺骗防护
网络设备采用统一的MAC地址静态绑定,同时保护安全设备。
本文由 在线网速测试 整理编辑,转载请注明出处。
