網路層協議及ARP攻擊

知己一語發表於2021-05-19

    一:網路層介紹及ICMP協議

1,網路層

  網路層位於OSI參考模型的第三層,位於傳輸層和資料鏈路層之間。向傳輸層提供最基本的端到端的資料傳送服務。定義了基於IP協議的邏輯地址,連線不同媒介型別,選擇資料通過網路的最佳路徑。主要網路裝置是路由器,主要PDU單元為資料包。

 

 

 

2,IP資料包結構

 

 

 

 

3,ICMP協議

  ICMP,網際網路控制報文協議。是一個“錯誤偵測與回饋機制”,通過IP資料包包裝,用來傳送錯誤和控制訊息。我們常用的“ping”命令就是基於ICMP協議。

 

  

 

 

 

 

4,ICMP協議的封裝

  ICMP協議屬於網路層協議

  ICMP資料的封裝過程

  

 

 

 

 

5,ping命令

  ping命令可以用來測試對方是否線上

  基本格式為:

  ping  [選項]  主機名/IP地址

       選項:

  -t  :會一直不停的執行ping。除錯故障或者需要進行持續性連通性測試時使用,Ctrl+C可以中斷命令

    

 

 

 

  -l  :可以設定ping包大小。單位為位元組,可用於簡單測試通訊質量

    

 

 

   

  -a  :可以顯示主機名稱

            

 

 

 

    

 

  ping命令基於ICMP協議,是成對出現的,並且是一發,一收

 

 

 

  

   區域網內當ping命令不同時,可能是1,防火牆的設定。2,IP的配置除了問題

 

 

 

 

 

     二:ARP原理及ARP攻擊

 

1,ARP協議概述

  區域網中主機通訊要有IP地址和MAC地址

  地址解析協議。是根據IP地址獲取實體地址的一個TCP/IP協議。主機傳送資訊時將包含目標IP地址的ARP請求廣播到區域網路上的所有主機,並接收返回訊息,以此確定目標的實體地址

 

2,ARP地址解析。將IP解析為MAC地址

 

  

  當區域網內PC1想和PC4通訊,沒有PC4的MAC地址,先去自己的ARP快取表裡查詢

 

 

 

 

 

   PC1在ARP快取表裡沒有找到PC4的MAC地址。傳送廣播尋找

 

 

     所有主機收到PC1的廣播,PC4單播回應,其他主機丟棄

 

 

 

    PC1得到PC4的MAC地址,將其寫入ARP快取表中,傳送資料

 

 

 

3,ARP攻擊原理

  ARP報文有兩個,一個請求,一個回應。

  正常當兩個主機第一次通訊時,A傳送ARP請求報文,B傳送ARP回應報文,通過B的回應報文,A確定B的MAC地址。

  當處在同環境下的另一臺主機C主動傳送ARP回應報文,告訴主機A自己是主機B時,就可以欺騙主機A

  

 

 

 

 

 

 

 

  當攻擊者同時欺騙了主機和閘道器,主機的所有上網資料都會經過攻擊者

 

 

 

4,ARP繫結。繫結閘道器

  將IP和MAC地址,通過手動或者自動掃描的方式,繫結在一起

  

    先檢視閘道器IP

    route print

 

 

    檢視閘道器MAC地址,並且檢視到現在閘道器型別為動態

    arp -a

 

 

    

    找到對應的介面

    netsh interface ipv4 show interface

 

 

 

 

    將閘道器的IP地址和MAC地址繫結

    netsh interface ipv4 set neighbors +介面號  +閘道器IP  +閘道器MAC

 

 

    再用arp -a 檢視閘道器型別

 

 

 

5,解除閘道器ARP 繫結

    netsh interface ipv4 delete neighbors + 介面號  +閘道器IP  +閘道器MAC

         再使用arp -a 檢視,發現變回了動態

  

 

 

  

 

 

 

相關文章