arp协议分析.ppt

《arp协议分析.ppt》由会员分享，可在线阅读，更多相关《arp协议分析.ppt（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月什么是ARP ARP (Address Resolution Protocol ) 地址解析协议 作用：IPMAC 简单来说： 任何网络访问（第一次）都会事先发一次arp的请求，以获取目地主机的物理地址。TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月地址解析协议地址解析协议 ARP 不管网络层使用的是什么协议，在实际网络的链路上传送数据帧时，最终还是必须使用硬件地址。 每一个主机都设有一个 ARP 高速缓存(ARP cache)，里面有所在的局域网上的各主机和路由器的 IP 地

2、址到硬件地址的映射表。 当主机 A 欲向本局域网上的某个主机 B 发送 IP 数据报时，就先在其 ARP 高速缓存中查看有无主机 B 的 IP 地址。如有，就可查出其对应的硬件地址，再将此硬件地址写入 MAC 帧，然后通过局域网将该 MAC 帧发往此硬件地址。 TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月ARP协议的基本思想协议的基本思想TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月ARP 响应AYXBZ主机 B 向 A 发送ARP 响应分组 主机 A 广播发送ARP 请求分组 ARP 请求ARP 请求ARP 请求ARP

3、 请求209.0.0.5209.0.0.600-00-C0-15-AD-1808-00-2B-00-EE-0A我是 209.0.0.5，硬件地址是 00-00-C0-15-AD-18我想知道主机 209.0.0.6 的硬件地址我是 209.0.0.6硬件地址是 08-00-2B-00-EE-0AAYXBZ209.0.0.5209.0.0.600-00-C0-15-AD-18TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月使用使用ARP的情况的情况 TCP/IP协议分析协议分析 课

4、件制作：邹延平课件制作：邹延平 2009年年9月月ARP高速缓存 使用ARP高速缓存。 当主机(或路由器)A通过ARP请求得到B的物理地址时，就将此“IP地址物理地址”绑定存储在高速缓存中。这样，对于后续发往B的分组，通过查找高速缓存获得物理地址。 TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月ARP缓存 Arp s添加静态ARP缓存表项，该表项是永久性的，除非用arp d删除； 动态arp缓存表项有有限的生存时间，在pc上ping某ip后，获得该ip的mac地址后，Arp a观察动态arp缓存的生存时间；观察在2分钟内未使用该arp表项的话，该表项会被自动

5、删除，如果在2分钟内使用了该表项，会从使用之时起，该表项的生存时间再延长2分钟。 TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月arp缓存表项的生存期缓存表项的生存期 在默认情况下，Windows Server 2003家族和Windows XP中，ARP缓存中的表项仅存储2分钟。如果一个ARP缓存表项在2分钟内被用到，则其期限再延长2分钟，直到最大生命期限10分钟为止。超过10分钟的最大期限后，ARP缓存表项将被移出，并且通过另外一个ARP请求ARP回应交换来获得新的对应关系。 TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9

6、月月ARP请求实现流程请求实现流程 有无无有目的站IP地址查询ARP高速缓存IP地址mac地址？广播ARP请求，等待ARP应答提取mac地址“IP地址mac地址“绑定存入高速缓存收到ARP应答？找不到mac地址TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月ARP应答实现流程 是否ARP请求分组到达本机是请求目标？用本机mac地址进行应答发送站“IP地址mac地址“绑定存入高速缓存TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月ARP分组格式硬件类型协议类型硬件长度协议长度操作 （请求1，回答2）发送站硬件地址发送站协议地址目

7、的站硬件地址目的站协议地址TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月ARP帧格式TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月特殊的ARP 代理ARP 向另一个网络发送ARP请求时，路由器主机返回自己的mac作为目的地址 免费ARP 发给自己的ARP，一般发生在系统引导时，来获得网络接口的MAC地址。TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月代理ARP两个物理网络通过代理ARP连接的例子 TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月免费免费A

8、RP和重复的和重复的IP地址检测地址检测 ARP可以被用来检测重复的IP地址，这是通过传送一种叫做免费ARP的ARP请求来完成的。免费ARP就是一个发往自己IP地址的ARP请求。在免费ARP中，SPA(发送者协议地址)和TPA(目标协议地址)被设置成同一个IP地址。 如果节点发送一个发往自己IP地址的ARP请求，就不应收到任何一个ARP回应帧，这样节点就可以判断没有其他节点使用跟它相同的IP地址。如果节点发送一个发往自己IP地址的ARP请求，结果收到ARP回应，这样此节点就可以判断有另外一个节点使用同样的IP地址。 如果发送了3个免费ARP后，都没有收到ARP回应，IP就假定此IP地址在此网络

9、段中是唯一的。 TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月ARP协议漏洞 漏洞的根源就是ARP协议是无连接的 没有ARP的请求也可以ARP回复, 最致命的就是操作系统收到这个请求后就会更新ARP缓存。 ARP请求也可以伪造。 ARP主机的缓存中毒！TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月ARP攻击分析攻击分析帧类型0 x0806ARP欺骗都是通过填写错误的MAC-IP对应关系来实现的ARP攻击利用攻击利用ARP协议本身的缺陷来实现！协议本身的缺陷来实现！可以利用帧类型来识别ARP报文TCP/IP协议分析协议分析

10、课件制作：邹延平课件制作：邹延平 2009年年9月月ARP欺骗攻击欺骗攻击仿冒网关仿冒网关p攻击者发送伪造的网关攻击者发送伪造的网关ARPARP报文，欺骗同网段内的其它主机。报文，欺骗同网段内的其它主机。p主机访问网关的流量，被重定向到一个错误的主机访问网关的流量，被重定向到一个错误的MACMAC地址，导地址，导致该用户无法正常访问外网。致该用户无法正常访问外网。正常用户A网关G网关MAC更新了已更新发送伪造发送伪造ARP信息信息攻击者BIP Address GMAC G1.1.1.11-1-1IP AddressMACType1.1.1.1(网关) 1-1-1DynamicIP Addres

11、sMACType1.1.1.1（网关）2-2-2Dynamic目的目的MAC源源MAC2-2-23-3-3IP Address AMAC A1.1.1.53-3-3IP Address BMAC B1.1.1.205-5-5网关的网关的 MAC is 2-2-2ARP表项更新为数据流被中断这种攻击为这种攻击为ARPARP攻击中最为常见的攻击攻击中最为常见的攻击TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月ARP欺骗攻击欺骗攻击欺骗网关欺骗网关p攻击者伪造虚假的攻击者伪造虚假的ARP报文，欺骗网关报文，欺骗网关p网关发给该用户的所有数据全部重定向到一个错误的网

12、关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网地址，导致该用户无法正常访问外网正常用户A网关G用户A的MAC更新了已更新发送伪造ARP信息攻击者BIP Address GMAC G1.1.1.11-1-1IP AddressMACType1.1.1.53-3-3DynamicIP AddressMACType1.1.1.52-2-2Dynamic目的MAC源MAC 2-2-21-1-1IP Address AMAC A1.1.1.53-3-3IP Address B MAC B1.1.1.205-5-5用户用户A的的MAC is 2-2-2ARP表项更新为数

13、据流被中断TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月ARP欺骗攻击欺骗攻击欺骗终端用户欺骗终端用户p攻击者伪造虚假的攻击者伪造虚假的ARPARP报文，欺骗相同网段内的其他主机。报文，欺骗相同网段内的其他主机。p网段内的其他主机发给该用户的所有数据都被重定向到错误网段内的其他主机发给该用户的所有数据都被重定向到错误的的MACMAC地址，同网段内的用户无法正常互访。地址，同网段内的用户无法正常互访。正常用户A网关G用户C的MAC更新了知道了发送伪造ARP信息攻击者BIP Address GMAC G1.1.1.11-1-1IP AddressMACType1

14、.1.1.19-9-9DynamicIP AddressMACType1.1.1.12-2-2Dynamic目的MAC源MAC 2-2-23-3-3IP Address AMAC A1.1.1.53-3-3IP Address B MAC B1.1.1.205-5-5IP Address CMAC C1.1.1.89-9-9用户用户C的的MAC is 2-2-2ARP表项更新为数据流被中断TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月ARP泛洪攻击泛洪攻击p攻击者伪造大量不同攻击者伪造大量不同ARPARP报文在同网段内进行广播，导致网关报文在同网段内进行广播

15、，导致网关ARPARP表表项被占满，合法用户的项被占满，合法用户的ARPARP表项无法正常学习，导致合法用户无法正表项无法正常学习，导致合法用户无法正常访问外网常访问外网正常用户A网关G用户A、A1、A2、A3的MAC更新了已更新发送大量伪造ARP信息攻击者BIP Address GMAC G1.1.0.11-1-1IP AddressMACType1.1.0.22-2-2Dynamic1.1.0.32-2-3Dynamic1.1.0.42-2-4Dynamic1.1.0.52-2-5Dynamic1.1.0.62-2-6Dynamic.DynamicIP Address A MAC A1.1

16、.1.1033-3-31.1.0.2 MAC is 2-2-2ARP表项被占满ARP表项无法学习IP Address BMAC B1.1.1.205-5-51.1.0.3 MAC is 2-2-31.1.0.4 MAC is 2-2-41.1.1.103 MAC is 3-3-3TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月ARP攻击防御的三个控制点网关G用户接入设备n 网关防御网关防御n 合法ARP绑定，防御网关被欺骗n ARP数量限制，防御ARP泛洪攻击1n 接入设备防御接入设备防御n 网关IP/MAC绑定，过滤掉仿冒网关的报文n 合法用户IP/MAC绑

17、定，过滤掉终端仿冒报文n ARP限速2n 客户端防御客户端防御n 绑定网关信息3TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月ARP实验实验1、启动ethereal，捕获报文2、arp d删除所有mac地址表项3、 ping 本网段 ip，触发arp过程；4、 arp a观察mac地址 5、访问外网段的 ip主机6、 arp a观察mac地址 7、结束报文捕获，分别过滤筛选出访问本网段 ip和外网段 ip 的arp报文，观察理解报文格式，比较有何异同？ 8、在一台PC1上设置IP，然后在另一个PC2上设置相同的IP，用ethereal抓arp包（会发现pc2

18、在设置完IP后，会首先发送一个无偿arp请求，pc1收到后，会向pc2回复，在重复这样三次后，就可以确定网络内具有与之相同的ip主机，pc2就无法初始化其tcp/ip协议栈了。） 过滤筛选出免费arp报文，理解免费arp的功能。TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月1、 打开打开“arp数据包数据包”中中“arp.pkt”文件，观察数据包，回答以下问题：文件，观察数据包，回答以下问题： 1号数据包：号数据包： 1）发送该数据包的源）发送该数据包的源IP、源、源mac地址是什么？地址是什么？ 2）试图解析的是什么）试图解析的是什么IP地址？地址？ 3）

19、该数据包的作用是什么？）该数据包的作用是什么？ 4号数据包、号数据包、5号数据包的作用是什么？画网络示意图说明号数据包的作用是什么？画网络示意图说明2、用科来或、用科来或sniffer 打开打开 “arp数据包数据包”中中“ARP扫描扫描.cap”文件，利用文件，利用矩阵工具、诊断或专家系统等进行分析矩阵工具、诊断或专家系统等进行分析3、（补充）：、（补充）：两人合作，参考两人合作，参考“ARP欺骗的原理与模拟欺骗的原理与模拟.doc”文章，设计实验，理解文章，设计实验，理解ARP欺骗的原理，如何防范基于欺骗的原理，如何防范基于ARP欺骗的攻击行为？欺骗的攻击行为？要求： 完成前面实验，将过滤

20、筛选的数据包存盘，写实验报告（要求完成前面实验，将过滤筛选的数据包存盘，写实验报告（要求有网络拓扑图、实验截图等）并回答问题，将数据包文件、实验有网络拓扑图、实验截图等）并回答问题，将数据包文件、实验报告等打包上传报告等打包上传ARP协议分析与问题协议分析与问题TCP/IP协议分析协议分析 课件制作：邹延平课件制作：邹延平 2009年年9月月阅读材料专题：ARP攻击防范与解决方案Arp辅导材料 ARP欺骗的原理与模拟.doc arp欺骗病毒排查实例.pdf ARP协议深入解析实例-伪造ARP.pdf 进入夏天，少不了一个热字当头，电扇空调陆续登场，每逢此时，总会进入夏天，少不了一个热字当头，电

21、扇空调陆续登场，每逢此时，总会想起那一把蒲扇。蒲扇，是记忆中的农村，夏季经常用的一件物品。记想起那一把蒲扇。蒲扇，是记忆中的农村，夏季经常用的一件物品。记忆中的故乡，每逢进入夏天，集市上最常见的便是蒲扇、凉席，不论男女老忆中的故乡，每逢进入夏天，集市上最常见的便是蒲扇、凉席，不论男女老少，个个手持一把，忽闪忽闪个不停，嘴里叨叨着少，个个手持一把，忽闪忽闪个不停，嘴里叨叨着“怎么这么热怎么这么热”，于是三，于是三五成群，聚在大树下，或站着，或随即坐在石头上，手持那把扇子，边唠嗑五成群，聚在大树下，或站着，或随即坐在石头上，手持那把扇子，边唠嗑边乘凉。孩子们却在周围跑跑跳跳，热得满头大汗，不时听到

22、边乘凉。孩子们却在周围跑跑跳跳，热得满头大汗，不时听到“强子，别跑强子，别跑了，快来我给你扇扇了，快来我给你扇扇”。孩子们才不听这一套，跑个没完，直到累气喘吁吁，。孩子们才不听这一套，跑个没完，直到累气喘吁吁，这才一跑一踮地围过了，这时母亲总是，好似生气的样子，边扇边训，这才一跑一踮地围过了，这时母亲总是，好似生气的样子，边扇边训，“你你看热的，跑什么？看热的，跑什么？”此时这把蒲扇，是那么凉快，那么的温馨幸福，有母亲此时这把蒲扇，是那么凉快，那么的温馨幸福，有母亲的味道！蒲扇是中国传统工艺品，在我国已有三千年多年的历史。取材的味道！蒲扇是中国传统工艺品，在我国已有三千年多年的历史。取材于棕榈

23、树，制作简单，方便携带，且蒲扇的表面光滑，因而，古人常会在上于棕榈树，制作简单，方便携带，且蒲扇的表面光滑，因而，古人常会在上面作画。古有棕扇、葵扇、蒲扇、蕉扇诸名，实即今日的蒲扇，江浙称之为面作画。古有棕扇、葵扇、蒲扇、蕉扇诸名，实即今日的蒲扇，江浙称之为芭蕉扇。六七十年代，人们最常用的就是这种，似圆非圆，轻巧又便宜的蒲芭蕉扇。六七十年代，人们最常用的就是这种，似圆非圆，轻巧又便宜的蒲扇。蒲扇流传至今，我的记忆中，它跨越了半个世纪，也走过了我们的扇。蒲扇流传至今，我的记忆中，它跨越了半个世纪，也走过了我们的半个人生的轨迹，携带着特有的念想，一年年，一天天，流向长长的时间隧半个人生的轨迹，携带着特有的念想，一年年，一天天，流向长长的时间隧道，袅道，袅