静态arp绑定

一台pc A（192.168.1.2），想和另一台pc B（192.168.1.3）通信，pc A对自己所在局域网络内的所有主机，也包括路由器的接口喊（发送ARP查询信息）：ip地址是192.168.1.3的pc的mac地址是多少，请告诉我。pc B听到了，告诉pc A我是，并把自己的IP地址和mac地址，一起发送给了pc A。 ARP协议：Address Resolution Protocol。广播请求，单播更新。 ARP的作用：通过广播的方式，找出已知的IP地址的主机的mac地址。 ARP的request和response报文的格式是一样的，用一个标识位去区分是request还response ARP发送方报文的目的mac地址是广播地址：FFFFFFFFFFFF（48个bit）。 ARP接收方，接到发送方的请求报文后，会自动把请求方的ip地址和mac地址加入到自己的mac地址表里，然后用单播的方式，使用ARP报文，给发送方发送自己的mac地址。 ping使用的是icmp协议，这个协议的报文里必须有对方的mac地址，但是当第一次ping一个ip地址时，由于不知道对方的mac地址，所以需要发送一个arp广播，也就是arp协议的报文，到mac为FFFFFFFFFFFF的广播地址。 分析首次ping一个在同一个网络内的ip地址 在ios里第一次ping（R1的f0

文章目录 01.课程知识概述部分 02.知识回顾说明 03.TCP十一种状态集 三次握手：五种状态变化 补充面试题：统计服务连接数量 四次挥手： 问题： PS：服务端可以被访问进行通讯，必须创建socket 04.网络重要原理说明： 解析三个过程： ARP解析原理作用： ARP解析过程： 05.企业网络搭建步骤 核心层设备：路由器设备 汇聚层设备：三层交换机 接入层设备：二层交换机（傻瓜交换机） 06.系统路由配置方法： 作业： 01.课程知识概述部分 1）网络通讯基本原理 2）网络常见硬件设备 交换机 路由器 3）网络拓扑搭建思路 4）网络层次结构模型 OSI7层模型（标准 规范） TCP/IP模型（协议） 5）网络原理概念 TCP三次握手过程 TCP四次挥手过程 TCP十一种状态集转换 DNS协议原理 ARP协议原理 查看网络状态 [root@jason ~ 08:52:37]# netstat -lntup Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 6873/sshd tcp 0 0 127.0.0.1:25 0.0

ARP欺骗实验 ARP欺骗介绍 摘自百度百科 ARP欺骗（是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网上上特定计算机或所有计算机无法正常连线。最早探讨ARP欺骗的文章是由Yuri Volobuev所写的《ARP与ICMP转向游戏》（ARP and ICMP redirection games）。 其实arp欺骗就是假冒网关截取篡改数据包 实验步骤 1、工具准备 winpcap、Cain 2、环境配置 虚拟机（攻击机），宿主机（被欺骗机），虚拟机网络设置为桥接模式，保证虚拟机能够上网 本次实验借用的是他人的电脑，宿主机为Mac系统 3、查看虚拟机和宿主机IP 虚拟机的ip为192.168.0.102 宿主机的ip为192.168.0.100 并且，在实验开始前，已经用虚拟机ping过百度一类的网址，保证能够上网。 4、运行Cain主程序 打开Cain主程序，并单击“配置菜单”，选择IP为本机的（192.168.0.102）的网卡适配器 5. 扫描活动主机 单击主界面“嗅探器”标签，切换到“主机”一栏，单击“开始嗅探”按钮后，空白处鼠标右键单击，打开菜单，选择“扫描Mac地址”。 扫描结束后

地址解析协议（Address Resolution Protocol，ARP）是在仅知道主机的IP地址时确 地址解析协议定其物理地址的一种协议。因IPv4和以太网的广泛应用，其主要用作将IP地址翻译为以太网的MAC地址，但其也能在ATM( 异步传输模式)和FDDIIP(Fiber Distributed Data Interface 光纤分布式数据接口)网络中使用。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。 1. 什么是ARP? 　　ARP (Address Resolution Protocol) 是个地址解析协议。最直白的说法是：在IP-以太网中，当一个上层协议要发包时，有了节点的IP地址，ARP就能提供该节点的MAC地址。 　　2. 为什么要有ARP？ 　　OSI 模式把网络工作分为七层，彼此不直接打交道，只通过接口(layer interface). IP地址在第三层, MAC地址在第二层。协议在发送数据包时，得先封装第三层（IP地址），第二层（MAC地址）的报头, 但协议只知道目的节点的IP地址，不知道其MAC地址，又不能跨第二、三层，所以得用ARP的服务。 　　3. 什么是ARP 　　cache? ARP cache

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的，IP地址是32 位的，而MAC地址则是48位的。MAC地址的长度为48位（6个字节），通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08: 00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数08:00:20代表网络硬件制造商的编号，它由IEEE（电气与电子工程师协 会）分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。只要你不去更改自己的MAC地址，那么你的MAC地 址在世界是惟一的。 MAC地址的作用 IP地址就如同一个职位，而MAC地址则好像是去应聘这个职位的人才，职位可以既可以让甲坐，也可以让乙坐，同样的道理一个节点的IP地址对于网卡是不做 要求，基本上什么样的厂家都可以用，也就是说IP地址与MAC地址并不存在着绑定关系。本身有的计算机流动性就比较强，正如同人才可以给不同的单位干活的 道理一样的，人才的流动性是比较强的。职位和人才的对应关系就有点像是IP地址与MAC地址的对应关系。比如，如果一个网卡坏了，可以被更换，而无须取得 一个新的IP地址。如果一个IP主机从一个网络移到另一个网络，可以给它一个新的IP地址，而无须换一个新的网卡。当然MAC地址除了仅仅只有这个功能还

ARP局域网断网攻击分析及演示 ARP 断网攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得 局域网 上的数据封包甚至可篡改封包，且可让网络上特定 计算机 或所有计算机无法正常连接。 ARP断网攻击就是通过伪造IP地址和 MAC地址 实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断 ARP攻击原理 ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP 木马 ，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由 网卡 附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的

一、内容 　　1.网络嗅探：Wireshark 监听网络流量，抓包。 　　2.ARP欺骗：科来数据包发生器，构造欺骗报文。 　　3.防范： 防范arp欺骗、非法DHCP防范。 二、使用的工具和平台 　　Wireshark：用来抓包， 　　科来数据包生成器、科来数据包播放器：构造欺骗的ARP欺骗报文 　　平台：使用Win10作为攻击机，靶机时虚拟机中的Win7 三、ARP欺骗原理 　　同一局域网里面的两台主机之间相互通信是通过Mac地址寻址的，而如果两台主机若不是处于同一子网里面，则在通信的时候会相互将数据发送给各自的路由器网关，通过网关的IP寻址以达到通信目的。但是网关和自己局域网里面的主机通信的时候还是依靠Mac地址寻址的，所以如果我们要把自己攻击机伪造成网关达到欺骗作用，就应该把目标主机上的网关Mac地址缓存改为攻击机的Mac地址（这就可以通过伪造ARP报文来实现）。 　　正常情况下数据包的发送： 　　 　　如图：在正常的情况下，处于两个不同子网之间通信，会有A——>网关——>网卡——>外网。通过网关和网卡连通两个子网。而现在所要做的就是将这一步改为A——>B——>网卡——>外网，将B伪造成网关，这样一来所有从A到外网的数据就都会通过B了，从而可以分析出A的上网情况，甚至是一些明文密码。 　　伪造的情况下： 　　 同时，伪造网关后，还需要将数据转发出去

一. 交换机转发： 交换机收到数据帧，会存在三种行为： ① 泛洪 ② 转发 ③ 丢弃 1. 泛洪： 交换机会在以下情况泛洪数据帧： （1）当交换机收到广播帧、组播帧会泛洪 （2）当交换机收到一个单播帧，但是交换机的MAC地址表中没有对应的接口标识，此时会泛洪数据帧，称为“未知单播帧的泛洪” 注：交换机不会查看广播数据帧，而是直接将他泛洪到当前除接收接口外的所有的接口，所以针对而成协议数据报文，报文的目标MAC地址只能为组播。 2. 转发： （1）从一个接口收到一个单播帧，并且MAC地址表中有其对应的接口，会进行转发 3. 丢弃： （1）从一个接口收到一个单播帧，单播帧的目的MAC对应的接口正是接收到此单播帧的接口，此时会丢弃数据帧 二. ARP Address Resolution Protocol，地址解析协议，网络设备有数据要发送给另一台网络设备时，必须要知道对方的网络层地址（即IP地址）。IP地址由网络层来提供，但是仅有IP地址是不够的，IP数据报文必须封装成帧才能通过数据链路层进行发送，数据帧必须要包含目的MAC地址，因此发送端还必须获取目的MAC地址。通过目的IP地址而获取目的MAC地址的过程是由ARP协议来实现的。ARP缓存表用来记录ARP信息，默认老化时间为1200S。 ARP直接封装在数据链路层之上，Type标识为0x0806，我们有时称ARP为2.5层协议。

近期网络中 ARP 病毒流行，我校校园网内也发现许多电脑中毒，对同一局域网内的其他用户造成了较大的影响。此病毒为木马病毒附带的一种欺骗病毒，这些计算机病毒一般都是利用 ARP 协议的漏洞进行危害活动。 被攻击的电脑现象 被欺骗电脑的典型症状是刚开机能上网，几分钟之后断网，过一会又能上网，或者重启一遍电脑就可以上网，一会又不好了，如此不断重复，造成校园网的不稳定，影响正常使用。重启机器或在 MSDOS 窗口下运行命令 ARP -d 后，又可恢复上网一段时间。 ARP 病毒原理 电脑中毒后会向同网段内所有计算机发 ARP 欺骗包，从而致使同一网段地址内的其它机器误将其作为网关，导致网络内其它电脑因网关物理地址被更改而无法上网，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。 ARP 病毒手动处理方法 步骤一在网关地址栏内输入您的网关 IP 地址。获取网关地址的方法：打开一个 DOS 窗口， 输入命令 ipconfig/all 后回车，得到如图结果： 图中 “Default Gateway” 行显示的就是您的网关地址（ 注：各网段的网关地址是不一样的，切记：请不要照搬 ）。 步骤二 . 如果已经有网关的正确 MAC 地址，手工将网关 IP 和正确 MAC 绑定，可确保计算机不再被攻击影响。手工绑定可在 MS-DOS 窗口下运行以下命令： arp –s 网关 IP 网关 MAC