本帖最后由 宅男女神 于 2016-2-10 18:29 编辑
1 ~3 U5 U, M8 a. P: R
% o- {" D. v9 P转眼间 ADAM的【ARP专题】已经到了详解4了 本周将会迎来【ARP专题】系列的终结篇详解5 请各位严阵以待 做好前几篇的复习工作!!! 如果这5篇ARP详解你都能深刻理解并且熟练掌握 那么小编在此恭喜 你已经成为了ARP技术领域小神啦~~~ 下面 就有请ADAM先森为我们继续讲解~~~
) Y2 E: m( e, v
# d" |9 j7 A4 _- l- x" s 今天这讲,我们先来看个图:
【ADAM的网络笔记】---第五讲 ARP技术详解4
如图1-1,PC1要发送数据给Server,此时由于PC1要去的目的地是不同网段的,根据第二讲的内容我们可以知道此时PC1会去解析自己网关IP地址所对应的mac地址,也就是1.1.1.3的mac地址,但是啊,由于这个数据包的目标mac地址为ffff.ffff.ffff,是一个广播mac地址,所以当交换机收到目标地址为广播mac地址的数据时,交换机会进行泛洪(flooding),因此该数据会从f0/1和f0/2都发出。9 ]3 e6 m* P* E) X. i
泛洪——就是指从交换机某个接口收到一个目标地址为ffff.ffff.ffff的数据时,会将这个数据从其它所有接口将该数据发出。 那么此时,在正常情况下,只有作为网关的1.1.1.3会对此ARP消息进行响应,完成正常的ARP解析过程。然而,如果此时,PC2的电脑中了ARP木马,那么就会发生如下图的事件:
2 {6 M# W; m7 T# s
【ADAM的网络笔记】---第五讲 ARP技术详解4
( L) G' z- }, K2 _% b
如图1-2所示!大家注意红色的字样!PC2发送了一个sender ip 为1.1.1.3(也就是GW的ip地址),而Sender mac居然是bbbb.bbbb.bbbb也就是PC2的mac地址!那么如果PC1收到这个ARP reply后,会发生什么呢?在PC1的ARP表中,将会添加1.1.1.3的ARP条目,而对应的mac地址则是bbbb.bbbb.bbbb也就是PC2!!! 或许,这个时候你会想到,那么网关也会相应ARP reply啊,说的非常对!但是,请注意,如果PC2持续不断地发送ARP reply消息的话,那又会怎么样呢?当然是PC1的ARP表中会将1.1.1.3认成bbbb.bbbb.bbbb这个地址啊! ( n3 b0 f0 e# |
那么此时会怎么样呢? 1 G9 O2 o' J3 x6 [) }
【ADAM的网络笔记】---第五讲 ARP技术详解4
6 L' U) M9 S% Q, E A0 Z 如图1-3,PC1将会把所有去往别的网段的数据,都交给PC2,此时你就会发现PC1无法上网了!!这就叫做ARP欺骗 (ARP spoof)。
% m( v: {) U! f- h
" X8 j/ K& R4 J3 l; ?1 J
5 t' Y& K4 [ u" o( Q" G% ^& D& W, ~+ Y& U$ Y0 {8 w
【那么如何应对这种攻击呢?】 【主要有以下的几种解决方案】
. I- \, `% k+ H2 V, T. {, a一. 静态ARP绑定 二. 无故ARP技术(GratuitousARP) 三. DAI技术 四. 通过vlan划分,减少ARP欺骗的攻击范围 在ARP的最后一讲中我们将介绍ARP的这些应对技术的实现哟! 大家准备好了吗?! # D$ f7 s2 _$ y' Z/ _
英胜国际教育集团 EasyIn Lab上海分公司
" X5 c' i, K( m/ t- N所有"ADAM的网络笔记"汇总( [& i& N4 B6 [) i
http://bbs.vlan5.com/misc.php?mod=tag&id=5209 Q$ `; u: f; ]' `/ r0 N
|