网络安全技术第五章——第二节ARP地址解析协议安全（ARP欺骗攻击、针对内网主机。针对网关、针对交换机、中间人攻击）

ARP地址解析协议

1.概述：

通过DNS将域名解析到对应的IP地址，但是IP是逻辑地址，必须转换为MAC地址之后，将分组封装成帧，才能够在具体的物理网络中传输。
这时候就需要ARP地址解析协议了。工作于网络层和数据链路层之间。

2.ARP缓存表

存在于每台已启动计算机的内存之中，记录了IP与MAC之间的对应关系以及生成类型（动态/静态）

arp -a
这条指令可以显示本机的ARP缓存表
计算机就是基于ARP缓存表来实现IP与MAC映射的。
静态设置或动态学习

3.动态学习过程

如果A知道B的MAC地址
如果A不知道B的MAC地址

4.ARP欺骗

IP.B——MAC.B更新成了IP.B——MAC.C
这就形成了错误的映射
原因：ARP协议的缺陷：主动发送ARP请求和响应报文，源IP与MAC均可以伪造，但是ARP协议无法检查应答包中地址信息的正确性
因为这个缺陷出现了多种ARP欺骗攻击

5.ARP欺骗方式

1. 欺骗内网主机
   

2. 欺骗网关
   

3. 中间人攻击（1.2的结合）
   

4. 针对交换机的ARP欺骗
   交换机的工作原理：通过主动学习下联设备的MAC地址，建立和维护MAC地址表。
   在进行欺骗时，攻击者利用工具产生欺骗MAC，并且快速填满交换机的 MAC地址表，MAC地址表被填满以后，交换机便以广播方式处理到达交换机的数据帧，攻击者就可以利用各种嗅探攻击方式来获取网络信息。
   而大量的ARP欺骗流量会使交换机流量过载，过载以后就可能使得下连主机的网速变慢、数据包丢失、甚至网络瘫痪。

6.ARP防范

1. 针对主机的ARP欺骗的防范
   方法：静态绑定IP + MAC
   因为静态的ARP记录在计算机重启以后就会消失，所以
   编写一个批处理文件(如arp.bat) , 添加到Windows操作系统的“启动”栏中，这样每次开机系统就会自动开始绑定。
   @echo off
   arp -d
   arp-s 172.16.2.1 00-0a-8a-2d-a5-ff

2. 使用ARP防火墙
   因为它可以自动获取网关IP和MAC信息、拦截非法的ARP数据包

3. 针对交换机的ARP欺骗的防范
   （1）静态绑定下联设备的MAC与交换机端口
   （2）使用交换机的端口安全功能
   
   （3）使用带有防范ARP欺骗功能的交换机
   

总结：

TCP/IP体系协议安全包含的内容很多，这里仅仅从地址转换的角度对DNS和ARP协议安全问题说了一下。