Mac泛洪及ARP欺骗原理及实验演示

**

一、ARP理论基础

**
1、什么是ARP

ARP：地址解析协议，通过IP地址获取MAC地址，常见于局域网之中。 作用：

• 检测IP地址是否冲突
• 在二层网络中，通过IP地址获取MAC地址
• 获取网关IP地址，实现跨网段通信（代理ARP）

2、ARP协议过程

• PC1要与PC2通信但是不知道PC2的MAC地址
• 发送ARP请求包到交换机，交换机发送广播包全网找PC2
• 其他主机不进行回应

• PC2收到ARP请求包后会发送ARP应答包给PC1

• 形成通信

3、ARP表
ARP表：记录了通过ARP协议获取的MAC地址对应信息；
WIN10/WIN7查看ARP表：在cmd中，敲“arp -a”指令； 华为设备：display arp

MAC表：记录了接口与MAC地址的对应信息 交换机转发数据时，根据MAC地址表来转发，MAC地址表的条目是有限制的
华为设备查看MAC地址表：display mac-address

二、MAC泛洪攻击

1.原理：通过向交换机短时间发送大量无用的MAC地址，使得交换机MAC地址表被填充满，造成无法上网的效果；
2.实验演示：
（1）拓扑如下：

（2）PC1、PC2、Cloud的配置和kali的IP地址




（3）保证三台电脑之间的互通性



（4）查看Mac地址并用kali进行Mac攻击


这个时候PC1和PC2无法正常通信，会受到阻碍

这时候会受到大量的Mac地址
·
（5）对于Mac泛洪攻击我们可以配置交换机安全来防御

交换机防范指令：
接口下：
port-security enable   //开启接口保护
port-security max-mac-num  5    //最大学习MAC地址数量为5
port-security protec-action shutdown   //超过5个MAC地址数量则关闭该接口

（6）再次测试则不会受到影响

三、ARP欺骗

1、原理解析

正常情况下：连接热点的用户A，访问外网时，会将数据发送到手机（192.168.1.1），再由手机将数据发送到外网

这时攻击者介入，向用户A发送虚假的ARP信息，使得用户A原本发往手机的数据，都发向了自己，这时就可以截取用户A发送的数据

截获到用户A的数据后，攻击者需要把用户A的数据转发至手机，让手机将用户A的数据发送至互联网中去获得回应，以制造用户A正常上网的假象

当用户A的数据从互联网中回来的时候，因为手机没有被攻击者欺骗，所以手机会把这些数据转发给用户A，这时如果想获取这些数据，那么需要去欺骗手机

攻击者向手机发送虚假ARP信息，影响手机的数据发送方向，最终实现双重欺骗，获取用户A的所有数据

这时攻击者再将数据转发给用户A，就可以在用户A不知不觉的情况下窃取一切数据。

2、实验演示
（1）设备：Kali虚拟机，Win7虚拟机
（2）确定kali和win7的IP地址并能互通
kali
Win7

或者通过fping的方式确定

检查网络连通性


（3）开启转发功能

（1是开启，0是关闭）
（4）使用arpspoof工具欺骗（ arpspoof -i eth0 -t 本地网关 你想欺骗的主机ip）

（5）在win7浏览网页，新建窗口用driftnet抓取

实验完成