学习日志8.5--ARP攻击与防范
目录
ARP欺骗攻击
ARP泛洪防范(动态ARP检测)
ARP欺骗攻击
ARP中间人攻击,中间人可以通过交换机查询交换表获取主机和网关的IP地址信息
中间者通过ARP的查询可以知道PC2的IP地址和MAC地址,知道R2的IP地址和MAC地址,攻击者可以发送ARP的欺骗直接告诉PC2,说我是你的网关我的IP是192.168.100.199、MAC地址是54-58-98-6D-4E-F6(变成了攻击者的MAC地址),你有事可以找我。这个时候,在PC2收到攻击者的ARP欺骗,PC2的ARP表中的MAC地址表会更新,更新成攻击者的MAC地址,实现让PC2转发信息都转发到攻击机上。然后攻击机再向R2发送ARP欺骗,欺骗成功后,R2刷新ARP表,将表中的原PC2的MAC地址换成PC3攻击机的MAC地址。再完成ARP欺骗后,ARP表中的IP地址没变但是MAC地址变了,再数据转发的时候,数据沿着MAC地址转发到攻击机后,攻击机会打开数据包查看,或者复制一份,然后再转发到R2上。R2回复数据的时候,先到攻击者,然后攻击再对数据进行浏览复制修改,然后再发送给PC2。作为中间人,可以截获数据,也可以选择不转发数据使得PC2无法进行网络交互断网。
ARP模拟攻击防范的拓扑结构,用路由PC102当主机,用路由PC102-WG当作主机102的网关。按照IP地址给接口配置IP信息。
命令:[PC-102]display interface GigabitEthernet 0/0/0,可以查看接口的MAC地址
配置好IP地址信息,查看好接口的MAC地址后,给102配置默认路由
命令:[PC-101]ip route-static 0.0.0.0 0.0.0.0 192.168.11.199,默认网关是192.168.11.199配置好后,用102ping网关199,生成正确的ARP表。
命令:[PC-102]display arp,查看PC102中ARP表记录的信息在PC101上的ARP表记录的192.168.11.199的MAC地址是4aa2,和PC101-WG接口的MAC地址相符合。
命令:[PC-102-WG-GigabitEthernet0/0/0]display arp,查看PC102-WG中ARP表记录的信息
在PC102-WG上的ARP表记录的192.168.11.101的MAC地址是637e,和PC101接口的MAC地址相符合。
在进行攻击之前先把交换机的端口安全关闭。
命令:[SW1-port-group-1]undo port-security enable
利用kali进行中间人攻击,发起ARP欺骗
在PC102上看数据抓包
第一个广播包是kali发出来的,说我是192.168.11.101,谁是192.168.11.102告诉我
然后第二个是PC102给kali的回包,我是192.168.11.102我的MAC地址是63:7e
下一个是kali的广播包,问谁是192.168.11.199告诉我
然后在PC102-WG获得回包之后,就开始ARP欺骗
后面都是发送给PC102(63:7e)的ARP欺骗,说我是192.168.199我的MAC地址是82:d0
再看PC102-WG接口的数据包
第一个是kali的广播包,问谁是192.168.11.102,告诉我192.168.11.101,这个包需要PC102的回复,在PC102的接口已经回复了
第二个kali的广播包是问谁是192.168.199,告诉我192.168.101
第三个是PC102-WG给kali的回包,我是192.168.11.199我的MAC地址是4aa2
在知道双方的MAC地址之后就进行ARP欺骗,告诉192.168.11.199,我是192.168.11.102我的MAC地址是82:d0。
然后在查看ARP表
在PC102的ARP表更新后记录下192.168.11.199的MAC地址是82:d0
再PC102-WG上的ARP表更新记录下192.168.11.102的MAC地址是82d0。
证明这次ARP欺骗攻击成功。
ARP泛洪防范(动态ARP检测)
ARP中间人攻击防范,利用DHCPsnooping防范技术。
在开启DHCPsnooping之后,通过监听DHCP消息,交换机会创建一个DHCPsnooping的五元素表,包含IP地址、MAC地址、VLAN、接口、租期,会将监听到的内容添加进去。
先在主机PC1上申请一下DHCP服务,在交换机上让DHCP进行监听记录,然后查看表格
命令:
[SW1]display dhcp snooping user-bind all
依靠这个五元素表格,交换机可以开启ARP anti attack ARP攻击防范,开启后,在交换机接口收到ARP消息后,交换机会查询ARP消息中的源MAC和源IP是不是和五元素表的对应关系,如果匹配,就表示该ARP消息合法,可以继续转发到其他接口,如果不匹配,表示ARP非法,直接丢弃。
命令:[SW1-vlan1]arp anti-attack check user-bind enable,在vlan下开启ARP攻击防范。
注,该功能只有在真机环境下才能生效,在模拟环境下,观察不到试验现象。
开始前,先把PC102和PC102-WG的ARP表清空
命令:<PC102>reset arp all,用户视图下完成
然后互相ping通,生成正确的ARP表。
在攻击数据来临的时候,交换机接口会对来的数据进行arp anti-attack check检查,检查攻击数据中的源IP和源MAC是不是和表中的一致,不一致就丢弃,一致就转发。