**
一、ARP理论基础
**
1、什么是ARP
ARP:地址解析协议,通过IP地址获取MAC地址,常见于局域网之中。 作用:
- 检测IP地址是否冲突
- 在二层网络中,通过IP地址获取MAC地址
- 获取网关IP地址,实现跨网段通信(代理ARP)
2、ARP协议过程
- PC1要与PC2通信但是不知道PC2的MAC地址
- 发送ARP请求包到交换机,交换机发送广播包全网找PC2
- 其他主机不进行回应
- PC2收到ARP请求包后会发送ARP应答包给PC1
- 形成通信
3、ARP表
ARP表:记录了通过ARP协议获取的MAC地址对应信息;
WIN10/WIN7查看ARP表:在cmd中,敲“arp -a”指令; 华为设备:display arp
MAC表:记录了接口与MAC地址的对应信息 交换机转发数据时,根据MAC地址表来转发,MAC地址表的条目是有限制的
华为设备查看MAC地址表:display mac-address
二、MAC泛洪攻击
1.原理:通过向交换机短时间发送大量无用的MAC地址,使得交换机MAC地址表被填充满,造成无法上网的效果;
2.实验演示:
(1)拓扑如下:
(2)PC1、PC2、Cloud的配置和kali的IP地址
(3)保证三台电脑之间的互通性
(4)查看Mac地址并用kali进行Mac攻击
这个时候PC1和PC2无法正常通信,会受到阻碍
这时候会受到大量的Mac地址
·
(5)对于Mac泛洪攻击我们可以配置交换机安全来防御
交换机防范指令:
接口下:
port-security enable //开启接口保护
port-security max-mac-num 5 //最大学习MAC地址数量为5
port-security protec-action shutdown //超过5个MAC地址数量则关闭该接口
(6)再次测试则不会受到影响
三、ARP欺骗
1、原理解析
正常情况下:连接热点的用户A,访问外网时,会将数据发送到手机(192.168.1.1),再由手机将数据发送到外网
这时攻击者介入,向用户A发送虚假的ARP信息,使得用户A原本发往手机的数据,都发向了自己,这时就可以截取用户A发送的数据
截获到用户A的数据后,攻击者需要把用户A的数据转发至手机,让手机将用户A的数据发送至互联网中去获得回应,以制造用户A正常上网的假象
当用户A的数据从互联网中回来的时候,因为手机没有被攻击者欺骗,所以手机会把这些数据转发给用户A,这时如果想获取这些数据,那么需要去欺骗手机
攻击者向手机发送虚假ARP信息,影响手机的数据发送方向,最终实现双重欺骗,获取用户A的所有数据
这时攻击者再将数据转发给用户A,就可以在用户A不知不觉的情况下窃取一切数据。
2、实验演示
(1)设备:Kali虚拟机,Win7虚拟机
(2)确定kali和win7的IP地址并能互通
kali
Win7
或者通过fping的方式确定
检查网络连通性
(3)开启转发功能
(1是开启,0是关闭)
(4)使用arpspoof工具欺骗( arpspoof -i eth0 -t 本地网关 你想欺骗的主机ip)
(5)在win7浏览网页,新建窗口用driftnet抓取
实验完成