(完整版)D15-大型企业网络设计及部署-PPT03-v1.0

1、第三章第三章 分析分析arp攻击与欺骗攻击与欺骗 理论部分课程回顾简述cisco路由、交换产品体系。cisco设备ios命名由哪几部分组成？若要使用ftp备份ios，在cisco设备上如何配置？技能展示会防御arp攻击和arp欺骗会使用arp防火墙会使用sniffer软件理解arp攻击和欺骗报文本章结构防御防御arp攻击和攻击和arp欺骗欺骗并查找攻击主机并查找攻击主机分析分析arp攻击与欺骗攻击与欺骗arp攻击和欺骗的原理攻击和欺骗的原理arp攻击应用案例攻击应用案例使用使用sniffer软件分软件分析析arp协议协议arp攻击与攻击与arp欺欺骗的原理和应用骗的原理和应用使用使用sniff

2、er pro捕获数据包捕获数据包arp协议原理分析协议原理分析arp攻击原理欺骗其他所有计算机欺骗被攻击计算机pc1pc2网关网关网关的网关的mac地址是地址是xx-xx-xx-xx-xx-xx（虚假（虚假mac地址）地址）pc1的的mac地址是地址是xx-xx-xx-xx-xx-xx（虚假（虚假mac地址）地址）internetarp欺骗原理2-1arp欺骗网关pc1pc2网关网关我是网关，我的我是网关，我的mac地址是地址是xx-xx-xx-xx-xx-xx（pc2的的mac地址）地址）我是我是pc1，我的，我的mac地址是地址是xx-xx-xx-xx-xx-xx（pc2的的mac地址）地

3、址）internetpc1访问互联网的流量需要经访问互联网的流量需要经过过pc2转发转发arp欺骗原理2-2arp欺骗主机pc1pc2我是我是pc1，我的，我的mac地址是地址是xx-xx-xx-xx-xx-xx（pc3的的mac地址）地址）我是我是pc2，我的，我的mac地址是地址是xx-xx-xx-xx-xx-xx（pc3的的mac地址）地址）pc3pc1到到pc2的流量需要经过的流量需要经过pc3转发转发利用arp欺骗管理网络通过局域网管理软件管理网络选择监控网段选择参数选择监控网段用户权限设定管理主机设置管理方式设定关键主机验证效果不能访问关键组中的主机可以访问其他主机选择监控选择监控

4、的网段的网段右击需要管理的主机选右击需要管理的主机选择择“手工管理手工管理”管理方式管理方式关键主机组号关键主机组号配置关键主机配置关键主机ipip地址地址设置管理方式并选设置管理方式并选择关键主机组择关键主机组arp故障处理4-1需求分析benet公司突然无法正常上网发现主机arp缓存表中网关的mac地址不正确网关网关00/24b主机主机/24a主机主机/24switcharp故障处理4-2绑定arp在主机和网关设备上绑定arp主机绑定arp交换机绑定arpc:arp -s 00 00-1a-64-a1-52-f0c:arp -

5、ainterface: - 0 x2 internet address physical address type 00 00-1a-64-a1-52-f0 staticswitch(conf ig)#arp 0019.2101.9211 arpa f0/2switch (conf ig)#arp 00 001a.64a1.52f0 arpa f0/1switch (conf ig)#arp 0013.240a.b219 arpa f0/3switch#show ip arpprotocol address

6、age (min) hardware addr type interfaceinternet - 0019.2101.9211 arpa fastethernet0/2internet - 0013.240a.b219 arpa fastethernet0/3internet 00 - 001a.64a1.52f0 arpa fastethernet0/1arp故障处理4-3宽带路由器绑定arp静态arp绑定设置arp映射表arp故障处理4-4使用arp防火墙，自动抵御arp欺骗和攻击通过网络执法官限制主机barp防火墙界面测试网络通信查看防

7、火墙统计参数查看主机arp缓存表通过网络执法官限制网关arp防火墙主动防御攻击统计攻击统计arparp报文统计报文统计查找arp攻击的计算机mac地址为真实计算机地址查看网络信息记录表迅速定位计算机mac地址为虚假地址查看交换机的mac地址表，确定此mac所属端口switch#show mac address-table address 001f.caff.1003 mac address table-vlan mac address type ports- - - - 1 001f.caff.1003 dynamic fa0/1total mac addresses for this cri

8、terion: 1macmac地址所属端口地址所属端口小结请思考简述arp攻击和欺骗的原理。如果网络中出现arp攻击，通过绑定ip-mac地址的方法解决时，应该在哪些设备上绑定arp？在交换机上查看某mac地址对应端口使用什么命令？sniffer pro软件的使用开始抓包结束抓包报文分析单击按钮单击按钮开始抓包开始抓包单击按钮单击按钮停止抓包停止抓包单击按钮停止抓包单击按钮停止抓包进行报文分析进行报文分析单击解码单击解码查看捕获的报文查看捕获的报文arp协议arp协议将ip地址解析成mac地址直接封装在数据链路层的帧中在pc1上清除arp缓存，然后ping计算机pc2使用sniffer软件进行

9、抓包arp request和arp replyvarp requestvarp replyc:arp -dc:ping n 1数据数据arp分组分组帧的尾部帧的尾部类型类型源地址源地址目的地址目的地址操作码操作码arp requestarp request发送端硬件地发送端硬件地址和协议地址址和协议地址目标端硬件地目标端硬件地址和协议地址址和协议地址操作码操作码arp replyarp replypc2.2/24pc1.1数据链路层帧头结构目的地址目的地址源地址源地址类型类型arp攻击原理分析2-1实验环境主机安装网络执法官，进行a

10、rp攻击0000-1a-64-a1-52-f0网关网关00-1f-c6-44-a3-cf00-1f-c6-44-11-11攻击方主机攻击方主机检测方主机检测方主机arp攻击原理分析2-2捕获并查看报文过滤捕获的报文选择选择arparp协议协议v分析分析arp攻击原理攻击原理主机发主机发送大量送大量arparp应答应答arparp应答中包含的网应答中包含的网关关ipip地址对应虚假地址对应虚假macmac地址地址主机发主机发送大量送大量arparp请求请求检查（扫描）检查（扫描）主机是

11、否在线主机是否在线本章总结防御防御arp攻击和攻击和arp欺骗欺骗并查找攻击主机并查找攻击主机分析分析arp攻击与欺骗攻击与欺骗arp攻击和欺骗的原理攻击和欺骗的原理arp攻击应用案例攻击应用案例使用使用sniffer软件分软件分析析arp协议协议arp攻击与攻击与arp欺欺骗的原理和应用骗的原理和应用使用使用sniffer pro捕获数据包捕获数据包arp协议原理分析协议原理分析第三章第三章 分析分析arp攻击与欺骗攻击与欺骗 上机部分实验案例一： arp协议的应用案例2-1需求描述主机a使用网络执法官，限制主机b与网关通信网管员在主机b绑定网关的ip-mac条目，通信恢复主机a更改网络执法

12、官设置，主机b再次无法与网关通信a a主机主机b b主机主机网关网关实验案例一： arp协议的应用案例2-2实现思路设置主机a上的网络执法官，攻击主机b主机b无法访问互联网在主机b静态绑定网关的ip/mac地址主机b通信恢复，可以访问互联网主机a更改网络执法官的设置，攻击网关主机b无法访问互联网安装并配置arp防火墙学员练习4040分钟完成分钟完成实验案例二：测试arp防火墙的主动防御2-1需求描述主机安装网络执法官，进行双向arp攻击在被攻击主机安装arp防火墙，并开启主动防御分析arp防火墙的工作原理0000-1a-64-a1-52-f0网关网关00-1f-c