|
广播:将广播地址作为目的地址的数据帧;每个网段的最后一个IP地址就是该网段的广播地址。如(10.1.1.0/24中的10.1.1.255就是该网段的广播地址) 广播域:网络中能接收到同一个广播所有节点的集合 MAC地址广播 广播地址:FF-FF-FF-FF-FF-FF IP地址广播 1、255.255.255.255 2、广播IP地址为IP地址网段的广播地址,如192.168.1.255/24  交换机不能隔离广播,路由隔离广播 ———————————————— ARP协议:地址解析协议,即ARP(Address Resolution Protocol) 作用:将一个已知的IP地址解析成MAC地址 ---- ----------- -------- ----- 原理: 1)ARP广播请求 主机A要和主机C通信,但是事先他并不知道自己C的MAC 地址是多少,那这时候他怎么办?只能发一个广播包了呀,帧结构里面的源MAC地址填的是自己的MAC ,目标地址的MAC不知道那就是FF-FF-FF-FF-FF-FF,ARP 请求报文中包含源IP地址、目的IP地址、源MAC地址、目的MAC地址(目的MAC的值为0;全0代表这个地址待填充),请求报文会在网络中传播,该网络中的所有网关都会接受到ARP请求报文。  2)ARP单播应答 当主机C收到A主机发送的广播包后知道就是找它,那它得给主机A回应一个ARP应答呀,ARP应答报文中的源协议地址变成了主机C主机的IP地址,目标地址就是主机A的IP地址,目的MAC是主机A的MAC ,源MAC地址就是主机的MAC地址,然后通过单播的方式传送到主机A。  ARP缓存【以最后收到的应答为准】 当主机A收到ARP应答后做的事情就是把主机C的MAC 地址存放到自己的ARP缓存表中,下次如果还有数据包要发送往C,那它就不会广播再去发一次而是找到ARP缓存表的记录,然后把C的MAC地址填上去就发送数据包了。 当主机接收到一个广播信息,如果IP地址与广播的IP地址相同,则发回一个应答包,若不相同,则不做反应。但会把源IP地址与源MAC地址写入arp高速缓存形成映射。  ---- ----------- -------- ----- 1、arp -a 查看ARP缓存 2、arp -d 清除arp缓存 3、arp -s arp绑定 ———————————————— ARP攻击或欺骗的原理:  通过发送伪造虚假的ARP报文(广播或单播),来实现攻击或欺骗 如虚假报文的MAC是伪造的不存在的,实现ARP攻击,结果为终端通信/断网 如虚假报文的MAC是攻击者自身的MAC地址,实现ARP欺骗,结果可以监听、窃取、篡改、控制流量,但不中断通信!  ---- ----------- -------- ----- ARP攻击产生原因是因为arp协议的局限: ARP协议没有验证机制; arp缓存表以以最后收到的应答为准; ARP攻击者通过发送虚假伪造的ARP报文对受害者进行ARP缓存投毒; ———————————————— ARP攻击防御 1、静态ARP绑定:手工绑定/双向绑定 Windows客户机上: arp -s 10.1.1.254 00-20-2c-a0-e1-o9  2、ARP防火墙 自动绑定静态ARP 主动防御 3、硬件级ARP防御 交换机支持”端口“做动态ARP绑定(配合DHCP服务器) 或做交换机静态ARP绑定 交换机动态ARP详细配置后续更新》》 ———————————————— |
|
|
