单元13 防御ARP攻击

组建与维护企业网络单元13防御ARP攻击学习内容认识和查看ARP认识和防范ARP攻击引入之前已经学习了局域网中的主机通信，交换机是通过MAC地址表转发数据的，转发时要知道目的MAC地址，而计算机在发送数据时只指定了目的IP地址，这就需要将目的IP地址解析成MAC地址，那么该如何实现呢？R1SW1ARP简介局域网中主机的通信局域网主机通信，需要用到IP地址和MAC地址。发送数据时指定了IP地址，这就需要将目的IP地址解析成目的MAC地址，交换机才能通过MAC地址转发数据什么是ARP协议ARP（AddressResolutionProtocol）即地址解析协议，它将一个已知的IP地址解析成MAC地址，以便在交换机上通过MAC地址进行通信ARP协议IP地址解析为MAC地址的过程（1）PC1要发送数据给PC2，查看缓存发现没有PC2的MAC地址PC110.0.0.1要与10.0.0.2通信PC210.0.0.2PC310.0.0.3PC410.0.0.4C:\>arp-aInterface:10.0.0.1---0x2InternetAddressPhysicalAddressType10.0.0.20000-1a-64-b1-5a-f2dynamicARP协议IP地址解析为MAC地址的过程（2）PC1发送ARP请求广播消息，MAC广播地址为FF-FF-FF-FF-FF-FFPC110.0.0.1PC210.0.0.2PC310.0.0.3PC410.0.0.4我需要10.0.0.2的MAC地址ARP协议IP地址解析为MAC地址的过程（3）所有主机收到ARP请求消息，进行IP地址的比较，PC2发现目标IP地址与自己的IP地址相同，则进行ARP应答（单播），同时缓存PC1的IP与MAC地址对应关系。其他主机则丢弃收到的广播数据包PC110.0.0.1PC210.0.0.2PC310.0.0.3PC410.0.0.4我的MAC地址0800.0020.1111

ARP协议IP地址解析为MAC地址的过程（4）PC1将PC2的IP地址和MAC地址对应关系保存到缓存中，在此过程，交换机已经学习到PC1和PC2的MAC地址及对应接口，PC1开始使用单播方式向PC2发送数据PC110.0.0.1PC210.0.0.2PC310.0.0.3PC410.0.0.4C:\>arp-aInterface:10.0.0.1---0x2InternetAddressPhysicalAddressType10.0.0.20000-1a-64-b1-5a-f2dynamic10.0.0.208-00-00-20-11-11dynamicARP命令Windows系统中的ARP命令查看ARP缓存表：arp–a清除ARP缓存：arp-dARP绑定：arp-sip-addressmac-addressC:\>arp-s10.0.0.20000-1a-64-a1-52-f0C:\>arp-aInterface:10.0.0.7---0x2InternetAddressPhysicalAddressType10.0.0.200 00-1a-64-a1-52-f0static10.0.0.201 00-19-21-38-b3-1adynamicC:\>arp–dC:\>arp-aNoARPEntriesFoundARP绑定查看ARP缓存表清除ARP缓存静态绑定的ARP条目动态学习到的ARP条目ARP命令网络设备中的ARP命令查看ARP缓存表：Switch#showarp清除ARP缓存：Switch#cleararp-cacheARP绑定：Switch(config)#arpip-addressmac-addressarpa[interface-typeinterface-number]Switch(config)#arp1.1.1.10011.1111.1111arpaFastEthernet0/22Switch#showarpProtocolAddressAge(min)HardwareAddrTypeInterfaceInternet1.1.1.1-0011.1111.1111ARPAFastEthernet0/22Internet10.0.0.24001f.cab6.c959ARPAFastEthernet0/23Internet10.0.0.1-001f.caff.1041ARPAFastEthernet0/23局域网设备信息的记录使用局域网工具查看网络信息主机信息：主机名、MAC地址、IP地址、网关、员工、部门等网络设备信息：端口IP地址、端口连接的设备等局域网IP冲突解决方法使用ARP查找局域网IP地址冲突的计算机IP地址在网络中是唯一的，网络中擅自更改IP地址，可能出现同一网络相同的IP地址，导致IP地址冲突解决方法：首先，让员工主机重新获得IP，恢复正常通信然后，查找私自更改IP地址的主机：（1）员工主机原来使用的IP地址就是私自更改IP的主机正使用的IP地址（2）使用ping命令，ping上述IP地址（3）使用arp–a命令显示ARP缓存，从中找出该IP地址对应的MAC地址（4）根据原来的MAC地址记录，找到此MAC地址的主机提问小结什么是ARP？ARP在局域网通信中起到什么作用？计算机中怎样查看ARP表？学习内容认识和查看ARP认识和防范ARP攻击引入在实际的网络环境中经常听到ARP病毒、ARP攻击等，前面已经学习了ARP协议的原理，那么什么是ARP攻击呢？ARP攻击ARP攻击的原理ARP攻击主要是通过伪造IP地址和MAC地址进行欺骗，让以太网数据包的源地址、目标地址出错，导致网络中断或中间人攻击ARP的缓存表是可以被更改的，表中的IP地址和MAC地址对应关系被修改后就可以用来攻击ARP攻击的主要目的是使网络无法正常通信ARP攻击ARP攻击方式（1）攻击主机制造假的ARP应答，并发送给局域网中除被攻击主机之外的所有主机，ARP应答中包含被攻击的主机的IP地址和虚假的MAC地址被攻击主机PC1网关PC1的MAC地址是XX-XX-XX-XX-XX-XX（虚假MAC地址）Internet攻击主机PC2ARP攻击ARP攻击方式（2）攻击主机制造假的ARP应答，并发送给被攻击主机，ARP应答中包含除被攻击主机之外的所有主机的IP地址和虚假的MAC地址被攻击主机PC1网关Internet攻击主机PC2网关的MAC地址是XX-XX-XX-XX-XX-XX（虚假MAC地址）ARP欺骗ARP欺骗的原理ARP欺骗一般并不是使网络无法正常通信，而是通过冒充网关或其他主机，让到达网关或主机的流量通过攻击主机进行转发攻击主机转发流量就可以对流量进行控制和查看，从而达到控制流量或得到机密信息的目的ARP欺骗ARP欺骗网关PC2进行ARP欺骗：给PC1发送ARP应答，欺骗它我就是网关，并告之网关的IP地址和PC2的MAC地址；给网关发送ARP应答，欺骗它我就是PC1，并告之PC1的IP地址和PC2的MAC地址被欺骗主机PC1网关Internet欺骗主机PC2欺骗PC1说我是网关，告之PC2的MAC地址欺骗网关说我是PC1，告之PC2的MAC地址PC2获取了PC1访问因特网的流量ARP欺骗ARP欺骗主机PC2进行ARP欺骗：给PC1发送ARP应答，欺骗它我就是PC3，并告之PC3的IP地址和PC2的MAC地址；给PC3发送ARP应答，欺骗它我就是PC1，并告之PC1的IP地址和PC2的MAC地址PC1PC2欺骗PC1说我是PC3，告之PC2的MAC地址PC2获取了PC1和PC3通信的流量PC3PC4欺骗PC3说我是PC1，告之PC2的MAC地址利用ARP欺骗管理网络利用网络执法官控制局域网网络执法官是一款局域网管理软件，它利用ARP欺骗和攻击的原理，可以限制局域网中某些计算机不能访问外网，但是可以和内网主机通信网络执法官主要是通过MAC地址欺骗实现被控主机不能正常通信利用ARP欺骗管理网络网络执法官管理方式IP冲突：选择此项，被控主机屏幕的右下角将会提示IP冲突禁止与关键主机组进行TCP/IP连接：选择此项，被控主机将无法访问关键主机组中的成员禁止与所有主机进行TCP/IP连接：选择此项，被控主机将和所有主机失去连接防范ARP攻击绑定ARP在主机上绑定ARP在交换机上绑定ARPC:\>arp-s10.0.0.20000-1a-64-a1-52-f0C:\>arp-aInterface:10.0.0.6---0x2InternetAddressPhysicalAddressType10.0.0.200 00-1a-64-a1-52-f0staticSwitch(config)#arp10.0.0.60019.2101.9211arpaf0/2Switch(config)#arp10.0.0.200001a.64a1.52f0arpaf0/1Switch#showiparpProtocolAddressAge(min)HardwareAddrTypeInterfaceInternet10.0.0.6- 0019.2101.9211ARPAFastEthernet0/2Internet10.0.0.200-001a.64a1.52f0ARPAFastEthernet0/1防范ARP攻击绑定ARP在路由器上绑定ARP在宽带路由器上绑定ARP在IP-MAC表，选择相应IP-MAC项添加绑定即可Router(config)#arp10.0.0.60019.2101.9211arpaf0/0Router(config)#

show

ip

arpProtocol