常見網絡攻擊及防護

時間 2019-11-09

原文原文鏈接

ARP攻擊

前提是須要熟悉網卡的工做模式，網卡的工做模式分爲單播、廣播、組播等，arp協議發送請求是廣播模式，回覆是單播模式。
概念：經過ip地址查找目標機器mac地址，源機器經過廣播方式發送請求包（包裏包含目標ip）,目標機器確認是本身的ip後回覆包，不是本身的丟棄。
arp協議字段解讀：

Hardware type ：硬件類型，標識鏈路層協議   
        Protocol type： 協議類型，標識網絡層協議  
        Hardware size ：硬件地址大小，標識MAC地址長度，這裏是6個字節（48bti）  
        Protocol size： 協議地址大小，標識IP地址長度，這裏是4個字節（32bit）  
        Opcode： 操做代碼，標識ARP數據包類型，1表示請求，2表示迴應  
        Sender MAC address ：發送者MAC  
        Sender IP address ：發送者IP  
        Target MAC address ：目標MAC，此處全0表示在請求  
        Target IP address： 目標IP

攻擊原理html
- 被動監聽
  ARP欺騙攻擊創建在局域網主機間相互信任的基礎上的
  當A發廣播詢問：我想知道IP是192.168.0.3的硬件地址是多少？ web
  
  此時B固然會回話：我是IP192.168.0.3個人硬件地址是mac-b， segmentfault
  
  但是此時IP地址是192.168.0.4的C也非法回了：我是IP192.168.0.3,個人硬件地址是mac-c。並且是大量的。緩存
  
  因此ARP緩存表「後到優先」原則，A就會誤信192.168.0.3的硬件地址是mac-c，並且動態更新緩存表 cookie
  
  這樣主機C就劫持了主機A發送給主機B的數據，這就是ARP欺騙的過程。網絡
  
  假如C直接冒充網關，此時主機C會不停的發送ARP欺騙廣播，大聲說：個人IP是192.168.0.1，個人硬件地址是mac-c， oop
  
  此時局域網內全部主機都被欺騙，更改本身的緩存表，此時C將會監聽到整個局域網發送給互聯網的數據報。
  動畫
- 主動掃描

解決方案
對於 ARP 欺騙攻擊，利用接入層交換機上已經記錄了 Snooping 表項或（和）靜態綁定了合法用戶的信息進行報文合法性判斷。當交換機端口上收到 ARP 報文，將報文中的 IP 和 MAC 地址提取出來，而後與上述表項進行對比，若 IP、MAC 以及收到報文的端口信息在表項中，則認爲是合法報文，正常處理，不然認爲是非法報文予以丟棄。

參考

[網絡通訊協議](https://www.cnblogs.com/hanqing/p/5719948.html)  
[一個動畫看懂網絡原理之CSMA/CD的工做原理](http://www.wonggang.com/8126.html)  
[[圖解]ARP協議（一）](https://www.cnblogs.com/csguo/p/7527303.html)  
[圖解ARP協議（二）ARP攻擊原理與實踐](https://www.cnblogs.com/csguo/p/7527073.html)