分析ARP攻击与欺骗.pptVIP

绑定ARP 在主机和网关设备上绑定ARP 主机绑定ARP 交换机绑定ARP ARP故障处理4-2 C:\arp -s 00 00-1a-64-a1-52-f0 C:\arp -a Interface: --- 0x2 Internet Address Physical Address Type 00 00-1a-64-a1-52-f0 static Switch(conf ig)#arp 0019.2101.9211 arpa f0/2 Switch (conf ig)#arp 00 001a.64a1.52f0 arpa f0/1 Switch (conf ig)#arp 0013.240a.b219 arpa f0/3 Switch#show ip arp Protocol Address Age (min) Hardware Addr Type Interface Internet - 0019.2101.9211 ARPA FastEthernet0/2 Internet - 0013.240a.b219 ARPA FastEthernet0/3 Internet 00 - 001a.64a1.52f0 ARPA FastEthernet0/1 宽带路由器绑定ARP 静态ARP绑定设置 ARP映射表 ARP故障处理4-3 使用ARP防火墙，自动抵御ARP欺骗和攻击 通过网络执法官限制主机B ARP防火墙界面 测试网络通信 查看防火墙统计参数 查看主机ARP缓存表 通过网络执法官限制网关 ARP防火墙主动防御 ARP故障处理4-4 攻击统计 ARP报文统计 MAC地址为真实计算机地址 查看网络信息记录表迅速定位计算机 MAC地址为虚假地址 查看交换机的MAC地址表，确定此MAC所属端口 查找ARP攻击的计算机 Switch#show mac address-table address 001f.caff.1003 Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 001f.caff.1003 DYNAMIC Fa0/1 Total Mac Addresses for this criterion: 1 MAC地址所属端口 小结 请思考 简述ARP攻击和欺骗的原理。 如果网络中出现ARP攻击，通过绑定IP-MAC地址的方法解决时，应该在哪些设备上绑定ARP？ 在交换机上查看某MAC地址对应端口使用什么命令？ 开始抓包 结束抓包 报文分析 Sniffer Pro软件的使用 单击按钮 开始抓包 单击按钮 停止抓包 单击按钮停止抓包进行报文分析 单击解码 查看捕获的报文 ARP协议 将IP地址解析成MAC地址 直接封装在数据链路层的帧中 在PC1上清除ARP缓存，然后ping计算机PC2 使用Sniffer软件进行抓包 ARP request和ARP reply ARP协议 ARP request ARP reply C:\arp -d C:\ping –n 1 数据 ARP分组 帧的尾部 类型 源地址 目的地址 操作码 ARP request 发送端硬件地址和协议地址 目标端硬件地址和协议地址 操作码 ARP reply PC2 .2 /24 PC1 .1 数据链路层帧头结构 目的地址 源地址 类型 实验环境 主机安装网络执法官，进行ARP攻击 ARP攻击原理分析2-1 00 00-1a-64-a1-52-f0 网关 …… 00-1f-c6-44-a3-cf 00-1F-C6-44-11-11 攻击方主机 检测方主机 捕获并查看报文 过滤捕获的报文 ARP攻击原理分析2-2 选择ARP协议 分析ARP攻击原理 主机发送大量ARP应答 ARP应答中包含的网关IP地址对应虚假MAC地址 主机发送大量ARP请求 检查（扫描）主机是否在线 B e n e t BENET 4.0 B e n e t BENET 4.0 */35 B e n e t BENET 4.0