首页 > 代码库 > ARP攻击及原理
ARP攻击及原理
Arp介绍
1.1 Ip地址解析mac地址的过程
主机10.1.1.1想发送数据给主机10.1.1.2,检查缓存,发现没有10.1.1.2的mac地址
1.先检查自己的缓存看有没有,没有的话发送广播,所有主机都可以接收到
2..2收到后将mac地址私聊给10.1.1.1,恢复单播给10.1.1.1 .1收到后并将mac地址存入缓存
1.1.1 命令行测试
Arp -a 显示所有缓存
Arp -d清除所有缓存
Arp相应过程
1.1.2 Linux下arp查看方法
查看
[root@lb02 ~]# arp
Address HWtype HWaddress Flags Mask Iface
10.0.0.7 ether 00:0c:29:ed:ba:ca C eth0
10.0.0.1 ether 00:50:56:c0:00:08 C eth0
m01 ether 00:0c:29:82:55:90 C eth1
10.0.0.254 ether 00:50:56:ea:0c:63 C eth0
10.0.0.8 ether 00:0c:29:80:38:5a C eth0
10.0.0.253 (incomplete) eth0
删除
Arp -d +ip地址
Arping查看ip地址
[root@lb02 ~]# arping -c 1 10.0.0.7
ARPING 10.0.0.7 from 10.0.0.6 eth0
Unicast reply from 10.0.0.7 [00:0C:29:ED:BA:CA] 1.339ms
Sent 1 probes (1 broadcast(s))
Received 1 response(s)
[root@lb02 ~]#
1.2 Arp缓存表是把双刃剑
主机有了arp缓存表,可以加快ARP解析速度,减少局域网内广播风暴
正是有了arp缓存表,给恶意黑客带来了攻击服务器主机的风险,这个就是arp欺骗攻击
案例:切换路由器,负载均衡等设备时,可能会导致短时网络中断。
1.3 ARP在生产环境产生的问题及解决办法
一.ARP病毒,ARP欺骗
排查
1.MAC地址登记部门人员对应,IP绑定,所有设备登记mac地址
2.局域网出现arp中毒,特别是无法上网
3.员工上网物理拓扑规范清晰,从交换机上
4.划VLAN防止ARP广播风暴,及ARP欺骗
二.高可用服务器对之间切换时要考虑ARP缓存的问题
三.路由器等设备无缝迁移时要考虑ARP缓存的问题:例如:更换办公室的路由器。
1.4 ARP欺骗原理
ARP攻击就是通过伪造ip地址和mac地址对实现ARP欺骗的,如果一台主机中了ARP病毒,那么它就能够在网络中产生大量的ARP通信量,以至于使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改局域网中目标ARP缓存中的IP-MAC,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
1.5 服务器切换ARP问题
当网络中一台提供服务的机器宕机后,当在其他运行正常的机器的IP时,会因为客户端的ARP table cache 的地址解析还是宕机的机器的MAC地址。从而导致,即使在其他运行正常的机器添加宕机的机器ip,也会发生客户依然无法访问的情况。
解决办法是:当机器宕机,IP地址迁移到其他机器上时,需要通过arping命令来通知所有网络内机器清除其本地的ARP table cache从而使得客户机访问重新广播获取MAC地址。
1.6 回顾ARP技术点
1.6.1 什么是ARP协议
1.6.2 ARP协议工作原理
1.6.3 工作中ARP带来的实际问题和解决方案
A.局域网ARP欺骗原理及解决办法。
B.切换网关路由器,arp表带来的问题
C.集群架构中高可用服务器对之间的切换,arp表带来的问题及解决办法。
1.6.4 局域网客户端ARP问题的防御
1.7 ARP执行小结:
ARP全程“address resolution protocol”
实现局域网内通过IP地址获取主机的MAC地址
MAC地址:48位主机的物理地址,局域网内唯一的。
ARP协议类似DNS服务,但不需要配置ARP服务。
ARP协议是OSI7层模型第三层网络协议。
ARP协议要求通信的主机双方必须在同一个物理网段
Arp欺骗的原理,arp欺骗的解决方法。
Arp表缓存的案例:路由器,负载均衡切换
本文出自 “cc” 博客,请务必保留此出处http://ccokay.blog.51cto.com/11714322/1931224
ARP攻击及原理