網絡層協議及ARP攻擊

• 2021 年 5 月 19 日
• 筆記

　　　　一：網絡層介紹及ICMP協議

1，網絡層

　　網絡層位於OSI參考模型的第三層，位於傳輸層和數據鏈路層之間。向傳輸層提供最基本的端到端的數據傳送服務。定義了基於IP協議的邏輯地址，連接不同媒介類型，選擇數據通過網絡的最佳路徑。主要網絡設備是路由器，主要PDU單元為數據包。

2，IP數據包結構

3，ICMP協議

　　ICMP，互聯網控制報文協議。是一個「錯誤偵測與回饋機制」，通過IP數據包包裝，用來發送錯誤和控制消息。我們常用的「ping」命令就是基於ICMP協議。

4，ICMP協議的封裝

　　ICMP協議屬於網絡層協議

　　ICMP數據的封裝過程

5，ping命令

　　ping命令可以用來測試對方是否在線

　　基本格式為：

　　ping  [選項]  主機名/IP地址

       選項：

　　-t  ：會一直不停的執行ping。調試故障或者需要進行持續性連通性測試時使用，Ctrl+C可以中斷命令

　　-l  ：可以設定ping包大小。單位為位元組，可用於簡單測試通信質量

　　-a  ：可以顯示主機名稱

　　ping命令基於ICMP協議，是成對出現的，並且是一發，一收

 　 局域網內當ping命令不同時，可能是1，防火牆的設置。2，IP的配置除了問題

 　　　　二：ARP原理及ARP攻擊

1，ARP協議概述

　　局域網中主機通信要有IP地址和MAC地址

　　地址解析協議。是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到局域網絡上的所有主機，並接收返回消息，以此確定目標的物理地址

2，ARP地址解析。將IP解析為MAC地址

　　當局域網內PC1想和PC4通信，沒有PC4的MAC地址，先去自己的ARP緩存表裡查找

 　　PC1在ARP緩存表裡沒有找到PC4的MAC地址。發送廣播尋找

 　　　　所有主機收到PC1的廣播，PC4單播回應，其他主機丟棄

　　　　PC1得到PC4的MAC地址，將其寫入ARP緩存表中，發送數據

3,ARP攻擊原理

　　ARP報文有兩個，一個請求，一個回應。

　　正常當兩個主機第一次通信時，A發送ARP請求報文，B發送ARP回應報文，通過B的回應報文，A確定B的MAC地址。

　　當處在同環境下的另一台主機C主動發送ARP回應報文，告訴主機A自己是主機B時，就可以欺騙主機A

　　當攻擊者同時欺騙了主機和網關，主機的所有上網數據都會經過攻擊者

4，ARP綁定。綁定網關

　　將IP和MAC地址，通過手動或者自動掃描的方式，綁定在一起

　　　　先查看網關IP

　　　　route print

　　　　查看網關MAC地址，並且查看到現在網關類型為動態

　　　　arp -a

　　　　找到對應的接口

　　　　netsh interface ipv4 show interface

　　　　將網關的IP地址和MAC地址綁定

　　　　netsh interface ipv4 set neighbors +接口號  +網關IP  +網關MAC

　　　　再用arp -a 查看網關類型

5，解除網關ARP 綁定

　　  netsh interface ipv4 delete neighbors + 接口號  +網關IP  +網關MAC

         再使用arp -a 查看，發現變回了動態