科来ARP网络分析课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,科来ARP网络分析课件,1,ARP协议,ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作OSI参考模型的第2层（数据链路层），用于查找IP地址所对应物理网卡的MAC地址,ARP协议ARP，全称Address Resolution,2,ARP工作原理,1.首先，每台主机都会在自己的ARP缓冲区(ARP Cache)中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。,ARP工作原理1.首先，每台主机都会在自己的ARP缓冲区,3,ARP工作原理,2.当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。,ARP工作原理2.当源主机需要将一个数据包要发送到目的主机,4,ARP工作原理,3.网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址；,ARP工作原理3.网络中所有的主机收到这个ARP请求后，会,5,ARP工作原理,4.源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。,ARP工作原理4.源主机收到这个ARP响应数据包后，将得到的,6,ARP工作原理,正常情况下的ARP工作流程是一个请求，一个应答。,ARP工作原理正常情况下的ARP工作流程是一个请求，一个应答,7,ARP攻击原理,根据攻击的严重程度，ARP攻击可以分为三种：,1、,ARPF扫描,2、,ARP中间人攻击,3、,ARP断网攻击,ARP攻击原理根据攻击的严重程度，ARP攻击可以分为三种：,8,ARP扫描,用于查找网络中存活的主机，为后续攻击做准备。其原理是：攻击主机向网段中所有机器挨个发起ARP请求，网络中的主机收到此ARP请求后，会对攻击主机进行响应。通过ARP扫描，网络中的主机在攻击者面前将会暴露无疑，同时网络带宽被也会被严重耗费,ARP扫描用于查找网络中存活的主机，为后续攻击做准备。其原理,9,ARP中间人攻击,用于窃取信息，其原理是：攻击主机向被攻击主机和网关同时主动发起ARP回应，告诉对方自己是它的目标MAC，从而使被欺骗主机和网关发送给对方的数据都在攻击主机处进行一个跳转，进而完成信息窃取的目的。ARP中间人攻击，能够导致被攻击主机的信息泄密，同时也会耗费网络带宽,ARP中间人攻击用于窃取信息，其原理是：攻击主机向被攻击主,10,ARP断网攻击,能使网络通讯中断，危害性最为严重。其原理是：攻击主机向被攻击发起主动发起ARP回应，告诉对方一个错误的网关MAC，从而让对方的数据发往错误甚至是不存在的MAC地址处，从而断网。如果同时对网络中的所有主机进行攻击，则会导致整个局域网全部断网。,ARP断网攻击能使网络通讯中断，危害性最为严重。其原理是：攻,11,科来网络分析,ARP发包和收包数目之比本应该是1：1或者接近1：1,此处告诉我们该网络很可能存在ARP攻击。,科来网络分析ARP发包和收包数目之比本应该是1：1或者接近1,12,科来诊断,科来诊断,13,协议进行数据包解码,协议进行数据包解码,14,ARP攻击的常见防护方法,一,静态双向绑定,在客户端和网关同时做IP和MAC的绑定。客户端（以Windows操作系统为例）上可使用“arp-s ip mac”的命令，不同网关设备上arp绑定的配置方法不同，具体可查阅相应的配置说明,如arp-s 157.55.85.21200-aa-00-62-c6-09,ARP攻击的常见防护方法一 静态双向绑定,15,ARP攻击的常见防护方法,二,使用,ARP防护软件,ARP防护软件会向整个网络发送正确的ARP信息，可一定程度上预防ARP攻击。目前此类软件中比较常用的是Antiarp和欣向ARP,ARP攻击的常见防护方法二使用ARP防护软件,16,ARP攻击的常见防护方法,三,使用,具备防护功能的路由器,这种路由器的原理是它会定期向网络中发送正确的ARP信息，从而保障客户端主机ARP表的正确性,ARP攻击的常见防护方法三使用具备防护功能的路由器,17,