ARP协议: IP1主机通过路由器传数据包到IP2的主机: 路由器通过数据包中的目的IP确定网络,再广播ARP请求报文(MAC帧,目的地址为FF-FF-FF-FF-FF-FF广播MAC地址)找到IP2主机,IP2主机根据ARP请求报文中的IP和MAC地址单播ARP响应报文(单播MAC帧)返回自己的IP和MAC地址,IP2的IP和MAC加入ARP缓存表并重新封装数据包,实现通信。 ^ 主机的ARP高速缓存表有纪录时则直接通过IP地址找到MAC地址实现通信。
网卡接口: 192.168.131.1 --- 0xb
Internet 地址 物理地址 类型
192.168.131.254 00-50-56-e3-c5-c2 动态
192.168.131.255 ff-ff-ff-ff-ff-ff 静态
动态:主机自动获取到的,存活为两分钟。
静态:手工配置的。
linux中在/proc/net/arp文件,可以查看网关ip,其他局域网主机IP
ARP没有安全验证,所有ARP响应包都会接收,存在ARP欺骗攻击问题。 中间人发送伪造或欺骗网络上的 ARP 响应包,让受害者设备将网络流量发送到攻击者所控制的设备上,从而让攻击者能够拦截、窃取或修改流经网络的数据。 kali修改局域网中主机,发送arp响应包改变该主机中的arp缓存表中的网关的mac地址,实现断网:https://www.codenong.com/cs106926821/
局域网存活IP探测: fscan或nmap -sP 192.168.2.0/24
kali命令:
arpspoof -i eth0 -t 被攻击者IP地址 被攻击者网关IP地址
伪造网关发送错误arp
利用各种kali工具,中间代理获取局域网中用户的数据包,图片,网站账号密码等。
由于ARP攻击基本上目标主机是无察觉的,所以关于ARP的攻击,平时自己注意一点,提高警觉。 例如: 1.定期删除ARP缓存信息,使用arp-d清除缓存。 2.有条件的绑定ARP信息。 3.安装防火墙,部分防火墙或者杀毒软件能够再一定程度上拦截ARP攻击。 4.最重要的是不要随便连接公开wifi。
- 使用静态 ARP 表:在设备上配置静态的 ARP 条目,以避免 ARP 缓存被伪造的响应覆盖。
- 部署 ARP 防火墙或入侵检测系统:这些系统可以监控 ARP 流量并检测到异常活动。
- 使用动态 ARP 检查(DAI):这是一种在 IPv4 网络中防止 ARP 欺骗的技术,它由支持 IPSec 的设备实现。
- 使用 VLAN(虚拟局域网):通过将网络划分为多个虚拟局域网,可以限制 ARP 欺骗的影响范围。