本帖最后由 宅男女神 于 2016-2-10 18:29 编辑 & _% U% G! i7 W: W
$ o+ O. h, [5 ?+ I
转眼间 ADAM的【ARP专题】已经到了详解4了 本周将会迎来【ARP专题】系列的终结篇详解5 请各位严阵以待 做好前几篇的复习工作!!! 如果这5篇ARP详解你都能深刻理解并且熟练掌握 那么小编在此恭喜 你已经成为了ARP技术领域小神啦~~~ 下面 就有请ADAM先森为我们继续讲解~~~
+ ^" a Y' y% H6 D' R F! @6 z5 }8 C" i4 w
今天这讲,我们先来看个图:
【ADAM的网络笔记】---第五讲 ARP技术详解4
如图1-1,PC1要发送数据给Server,此时由于PC1要去的目的地是不同网段的,根据第二讲的内容我们可以知道此时PC1会去解析自己网关IP地址所对应的mac地址,也就是1.1.1.3的mac地址,但是啊,由于这个数据包的目标mac地址为ffff.ffff.ffff,是一个广播mac地址,所以当交换机收到目标地址为广播mac地址的数据时,交换机会进行泛洪(flooding),因此该数据会从f0/1和f0/2都发出。+ H* _- V M1 H& U2 I# l
泛洪——就是指从交换机某个接口收到一个目标地址为ffff.ffff.ffff的数据时,会将这个数据从其它所有接口将该数据发出。 那么此时,在正常情况下,只有作为网关的1.1.1.3会对此ARP消息进行响应,完成正常的ARP解析过程。然而,如果此时,PC2的电脑中了ARP木马,那么就会发生如下图的事件:
8 l3 G) ~3 a H! q
【ADAM的网络笔记】---第五讲 ARP技术详解4
" [- m8 P. ]" V
如图1-2所示!大家注意红色的字样!PC2发送了一个sender ip 为1.1.1.3(也就是GW的ip地址),而Sender mac居然是bbbb.bbbb.bbbb也就是PC2的mac地址!那么如果PC1收到这个ARP reply后,会发生什么呢?在PC1的ARP表中,将会添加1.1.1.3的ARP条目,而对应的mac地址则是bbbb.bbbb.bbbb也就是PC2!!! 或许,这个时候你会想到,那么网关也会相应ARP reply啊,说的非常对!但是,请注意,如果PC2持续不断地发送ARP reply消息的话,那又会怎么样呢?当然是PC1的ARP表中会将1.1.1.3认成bbbb.bbbb.bbbb这个地址啊!
1 g# \6 y7 L+ l. J 那么此时会怎么样呢?
6 a" p3 N7 V% r: D% }, V
【ADAM的网络笔记】---第五讲 ARP技术详解4
; f) O. E. \+ `5 }: S7 X! x 如图1-3,PC1将会把所有去往别的网段的数据,都交给PC2,此时你就会发现PC1无法上网了!!这就叫做ARP欺骗 (ARP spoof)。
8 Q5 [4 Q+ N5 n1 w
) t/ C4 f: [4 @9 X4 T% B. z ' a& N7 ^* b$ l q5 Z
2 j0 v$ l2 m8 Y' K 【那么如何应对这种攻击呢?】 【主要有以下的几种解决方案】 : L/ N+ |. G: O9 q
一. 静态ARP绑定 二. 无故ARP技术(GratuitousARP) 三. DAI技术 四. 通过vlan划分,减少ARP欺骗的攻击范围 在ARP的最后一讲中我们将介绍ARP的这些应对技术的实现哟! 大家准备好了吗?!
1 A: V1 ~! f9 A. Q- H' P+ z
英胜国际教育集团 EasyIn Lab上海分公司
+ F3 ], L" d$ P" B所有"ADAM的网络笔记"汇总
, V3 F8 d) d9 [# o) M; w& Mhttp://bbs.vlan5.com/misc.php?mod=tag&id=5209 3 U8 f& L T! n
|