網絡安全技術第五章——第二節ARP地址解析協議安全（ARP欺騙攻擊、針對內網主機。針對網關、針對交換機、中間人攻擊）

ARP地址解析協議

1.概述：

通過DNS將域名解析到對應的IP地址，但是IP是邏輯地址，必須轉換爲MAC地址之後，將分組封裝成幀，才能夠在具體的物理網絡中傳輸。
這時候就需要ARP地址解析協議了。工作於網絡層和數據鏈路層之間。

2.ARP緩存表

存在於每臺已啓動計算機的內存之中，記錄了IP與MAC之間的對應關係以及生成類型（動態/靜態）

arp -a
這條指令可以顯示本機的ARP緩存表
計算機就是基於ARP緩存表來實現IP與MAC映射的。
靜態設置或動態學習

3.動態學習過程

如果A知道B的MAC地址
如果A不知道B的MAC地址

4.ARP欺騙

IP.B——MAC.B更新成了IP.B——MAC.C
這就形成了錯誤的映射
原因：ARP協議的缺陷：主動發送ARP請求和響應報文，源IP與MAC均可以僞造，但是ARP協議無法檢查應答包中地址信息的正確性
因爲這個缺陷出現了多種ARP欺騙攻擊

5.ARP欺騙方式

1. 欺騙內網主機
   

2. 欺騙網關
   

3. 中間人攻擊（1.2的結合）
   

4. 針對交換機的ARP欺騙
   交換機的工作原理：通過主動學習下聯設備的MAC地址，建立和維護MAC地址表。
   在進行欺騙時，攻擊者利用工具產生欺騙MAC，並且快速填滿交換機的 MAC地址表，MAC地址表被填滿以後，交換機便以廣播方式處理到達交換機的數據幀，攻擊者就可以利用各種嗅探攻擊方式來獲取網絡信息。
   而大量的ARP欺騙流量會使交換機流量過載，過載以後就可能使得下連主機的網速變慢、數據包丟失、甚至網絡癱瘓。

6.ARP防範

1. 針對主機的ARP欺騙的防範
   方法：靜態綁定IP + MAC
   因爲靜態的ARP記錄在計算機重啓以後就會消失，所以
   編寫一個批處理文件(如arp.bat) , 添加到Windows操作系統的“啓動”欄中，這樣每次開機系統就會自動開始綁定。
   @echo off
   arp -d
   arp-s 172.16.2.1 00-0a-8a-2d-a5-ff

2. 使用ARP防火牆
   因爲它可以自動獲取網關IP和MAC信息、攔截非法的ARP數據包

3. 針對交換機的ARP欺騙的防範
   （1）靜態綁定下聯設備的MAC與交換機端口
   （2）使用交換機的端口安全功能
   
   （3）使用帶有防範ARP欺騙功能的交換機
   

總結：

TCP/IP體系協議安全包含的內容很多，這裏僅僅從地址轉換的角度對DNS和ARP協議安全問題說了一下。