选修计算机网络基础第12讲分析ARP攻击与欺骗理论.pptVIP

本页讲解数据链路层帧头的结构，在上页演示的基础上进行讲解。 需要讲解说明一下几部分： 1、目的地址（Destination）：这里表示主机PC1的网卡地址。 2、源地址（Source）：这里表示主机PC2的网卡地址。 3、类型（Ethertype）：0x0806表示此帧所携带的数据是ARP分组。 * 本页介绍讲解ARP攻击原理分析的实验环境。 实验环境： 攻击方主机（10.0.0.7）运行网络执法官，给网络中所有的主机发送网关的假MAC地址，于是除了攻击方主机之外，任何主机都无法和网关建立连接。现在在其中一台“受害”主机安装Sniffer Pro。 * 本案例通过从报文角度分析ARP攻击的原理。 首先，使用Sniffer软件进行抓包； 需要注意，此处是先抓包然后再进行过滤。另外还可以先定义过滤器然后在进行抓包，这时捕获的数据只是符合过滤器的报文。 最后，通过捕获的报文分析ARP的攻击原理。 * * 第十二讲 网分析ARP攻击与欺骗（理论部分） 计算机网络基础(第十二讲 ) 本章结构 防御ARP攻击和ARP欺骗并查找攻击主机 分析ARP攻击与欺骗 ARP攻击和欺骗的原理 ARP攻击应用案例 使用Sniffer软件分析ARP协议 ARP攻击与ARP欺骗的原理和应用 使用Sniffer Pro捕获数据包 ARP协议原理分析 欺骗其他所有计算机 欺骗被攻击计算机 ARP攻击原理 PC1 PC2 网关 网关的MAC地址是 XX-XX-XX-XX-XX-XX （虚假MAC地址） PC1的MAC地址是 XX-XX-XX-XX-XX-XX （虚假MAC地址） Internet ARP欺骗网关 ARP欺骗原理2-1 PC1 PC2 网关 我是网关，我的MAC地址是XX-XX-XX-XX-XX-XX （PC2的MAC地址） 我是PC1，我的MAC地址是XX-XX-XX-XX-XX-XX （PC2的MAC地址） Internet PC1访问互联网的流量需要经过PC2转发 ARP欺骗主机 ARP欺骗原理2-2 PC1 PC2 我是PC1，我的MAC地址是XX-XX-XX-XX-XX-XX （PC3的MAC地址） 我是PC2，我的MAC地址是XX-XX-XX-XX-XX-XX （PC3的MAC地址） PC3 PC1到PC2的流量需要经过PC3转发 通过局域网管理软件管理网络 选择监控网段 选择参数 选择监控网段 用户权限设定 管理主机 设置管理方式 设定关键主机 验证效果 不能访问关键组中的主机 可以访问其他主机 利用ARP欺骗管理网络 选择监控 的网段 右击需要管理的主机选择“手工管理” 管理方式 关键主机组号 配置关键主机IP地址 设置管理方式并选择关键主机组 需求分析 Benet公司突然无法正常上网 发现主机ARP缓存表中网关的MAC地址不正确 ARP故障处理4-1 网关 10.0.0.200/24 B主机 10.0.0.7/24 A主机 10.0.0.6/24 Switch 绑定ARP 在主机和网关设备上绑定ARP 主机绑定ARP 交换机绑定ARP ARP故障处理4-2 C:\arp -s 10.0.0.200 00-1a-64-a1-52-f0 C:\arp -a Interface: 10.0.0.7 --- 0x2 Internet Address Physical Address Type 10.0.0.200 00-1a-64-a1-52-f0 static Switch(conf ig)#arp 10.0.0.6 0019.2101.9211 arpa f0/2 Switch (conf ig)#arp 10.0.0.200 001a.64a1.52f0 arpa f0/1 Switch (conf ig)#arp 10.0.0.7 0013.240a.b219 arpa f0/3 Switch#show ip arp Protocol Address Age (min) Hardware Addr Type Interface Internet 10.0.0.6 - 0019.2101.9211 ARPA FastEthernet0/2 Internet 10.0.0.7 - 0013.240a.b219 ARPA FastEthernet0/3 Internet 10.0.0.200 - 001a.64a1.52f0