文章目錄

• 什么是ARP協(xié)議
• ARP欺騙的危害
• 實(shí)際測(cè)試
• 防御過(guò)程
• 基于routeros防御
• 總結(jié)

什么是ARP協(xié)議

ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?#xff0c;幀里面是有目標(biāo)主機(jī)的MAC地址的。注意：ARP是工作在數(shù)據(jù)鏈路層中

在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。

但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過(guò)地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。

根據(jù)ARP欺騙者與被欺騙者之間的角色關(guān)系的不同，通?？梢园袮RP欺騙攻擊分為如下兩種：
主機(jī)型ARP欺騙：欺騙者主機(jī)冒充網(wǎng)關(guān)設(shè)備對(duì)其他主機(jī)進(jìn)行欺騙
網(wǎng)關(guān)型ARP欺騙：欺騙者主機(jī)冒充其他主機(jī)對(duì)網(wǎng)關(guān)設(shè)備進(jìn)行欺騙

圖 1

ARP欺騙的危害

ARP欺騙可以造成內(nèi)部網(wǎng)絡(luò)的混亂，讓某些被欺騙的計(jì)算機(jī)無(wú)法正常訪問(wèn)內(nèi)外網(wǎng)，讓網(wǎng)關(guān)無(wú)法和客戶端正常通信，也可以截取全網(wǎng)絡(luò)數(shù)據(jù)包等。

實(shí)際上他的危害還不僅僅如此，一般來(lái)說(shuō)IP地址的沖突我們可以通過(guò)多種方法和手段來(lái)避免，而ARP協(xié)議工作在更低層，隱蔽性更高。系統(tǒng)并不會(huì)判斷ARP緩存的正確與否，無(wú)法像IP地址沖突那樣給出提示。
ARP欺騙攻擊的防御
-ARP雙向綁定
在pc端上 IP+mac 綁定
在網(wǎng)絡(luò)設(shè)備（交換路由）上 采用ip+mac+端口綁定
網(wǎng)關(guān)也進(jìn)行IP和mac的靜態(tài)綁定
-采用支持ARP過(guò)濾的防火墻
-建立DHCP服務(wù)器
ARP攻擊一般先攻擊網(wǎng)關(guān)，將DHCP服務(wù)器建立在網(wǎng)關(guān)上
-劃分安全區(qū)域
ARP廣播包是不能跨子網(wǎng)或網(wǎng)段傳播的，網(wǎng)段可以隔離廣播包。VLAN就是一個(gè)邏輯廣播域，通過(guò)VLAN技術(shù)可以在局域網(wǎng)中創(chuàng)建多個(gè)子網(wǎng)，就在局域網(wǎng)中隔離了廣播。?？s小感染范圍。 但是，安全域劃分太細(xì)會(huì)使局域網(wǎng)的管理和資源共享不方便。

實(shí)際測(cè)試

攻擊機(jī) kali 2022 192.168.10.88
軟路由 192.168.10.254 192.168.1.254
靶機(jī) win7 192.168.10.86
Lan 192.168.10.0/24 網(wǎng)關(guān)192.168.10.254
Wan 192.168.1.0/24 網(wǎng)關(guān)192.168.1.1

打印一下軟路由的ip地址

圖 2

通過(guò)軟路由上網(wǎng)的win7

圖 3

win7可以ping 通外網(wǎng)主機(jī)

圖 4
查看arp緩存表

圖 5

查看攻擊機(jī)IP

圖 6

Kali ping通靶機(jī)，軟路由

圖 7
開(kāi)始攻擊

圖 8
可以看到靶機(jī)arp緩存里mac地址改變

圖 9
此時(shí)靶機(jī)ping不通外網(wǎng)主機(jī)

圖 10

也連接不上網(wǎng)絡(luò)

圖 11
抓包看看沒(méi)攻擊時(shí)候的包

圖 12

攻擊時(shí)候的包

圖 13

防御過(guò)程

那么我們?cè)趺捶烙?br /> 其實(shí)很簡(jiǎn)單開(kāi)啟arp 防火墻就可以了
打開(kāi)騰訊電腦管家開(kāi)啟arp防火墻

圖 14

再次攻擊試試看

圖 15

圖 16
可以看到數(shù)據(jù)

圖 17

看一下詳細(xì)信息

圖 18
抓包看看

圖 19

基于routeros防御

圖 20
攻擊成功導(dǎo)致軟路由連接不了

圖 21
防御使用靜態(tài)Mac

圖 22

圖 23
雖然這里設(shè)定這樣但是好像軟路由更改不了只能在靶機(jī)里更改
在win7靶機(jī)里
打開(kāi)命令提示行，輸入命令：netsh i i show in查看idx號(hào)

圖 24

打開(kāi)管理員權(quán)限，運(yùn)行本地連接對(duì)應(yīng)的idx號(hào)為11。然后輸入命令：netsh -c “i i” add neighbors 11 “網(wǎng)關(guān)IP” “Mac地址“，這里11是idx號(hào)。回車就可以將網(wǎng)關(guān)IP對(duì)應(yīng)的arp條目設(shè)置成靜態(tài)的。

圖 25
查看ARP緩存表看到已經(jīng)設(shè)為靜態(tài)

圖 26
此時(shí)再次發(fā)動(dòng)攻擊

圖 27

靶機(jī)依舊可以上網(wǎng)

圖 28
抓包看看

圖 29

可以看到，即使此時(shí)靶機(jī)和之前一樣收到了很多來(lái)自攻擊者的arp欺騙數(shù)據(jù)包，但仍然沒(méi)有因此修改arp條目。
所以，通過(guò)設(shè)置靜態(tài)arp條目來(lái)防御arp攻擊確實(shí)是可行的

總結(jié)

網(wǎng)絡(luò)管理分為五大類配置管理、性能管理、記賬管理、故障管理和安全管理。
網(wǎng)絡(luò)管理的核心就是圍繞管、控、防、備四個(gè)方面做文章，以保障網(wǎng)絡(luò)的兼容性、時(shí)效性、穩(wěn)定性、可靠性和安全性為主要抓點(diǎn)，以提高網(wǎng)絡(luò)運(yùn)行效率、降低網(wǎng)絡(luò)故障和網(wǎng)絡(luò)風(fēng)險(xiǎn)為學(xué)習(xí)重點(diǎn)。
好了下面總結(jié)一下此次大作業(yè)
本次大作業(yè)作為基于Routeros ARP攻擊與防御,說(shuō)實(shí)話此次實(shí)驗(yàn)比較簡(jiǎn)單，arp也是早就知道，在網(wǎng)絡(luò)協(xié)議這門課程就已經(jīng)學(xué)到了，也做了攻擊，不過(guò)用的工具不一樣，實(shí)驗(yàn)中一開(kāi)始使用kaili2018 寫到后面發(fā)現(xiàn)根本用不了這個(gè)命令查看一下詳情發(fā)現(xiàn)2018版本根本沒(méi)有沒(méi)辦法，只好推到重新來(lái)過(guò)選擇kali 2022

圖 30

后來(lái)添加命令時(shí)候遇到錯(cuò)誤記得是管理員運(yùn)行

圖 31
對(duì)大作業(yè)思考就是可能目前只能依靠arp防火墻以及靜態(tài)綁定mac來(lái)防御，其他手段比如使用可以自帶IP-MAC地址綁定的路由器，如果你可以管理路由器的話，可以綁定每臺(tái)電腦的MAC地址，發(fā)現(xiàn)ARP攻擊源可以直接將其斷網(wǎng)，我覺(jué)得這是個(gè)比較實(shí)際的自己電腦安裝ARP防火墻不太現(xiàn)實(shí)，畢竟攻擊者攻擊網(wǎng)關(guān)，路由器崩潰了，自己電腦必然收到網(wǎng)速下降，甚至斷網(wǎng)等影響，覆巢之下無(wú)完卵，所以守護(hù)好路由器就是最好了。

總結(jié)

以上是生活随笔為你收集整理的基于RouterOS的ARP攻击与防御的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。