- Địa chỉ IP & Mac là gì
- Đầu độc Giao thức phân giải địa chỉ (ARP) là gì?
- Hoạt động lấy cắp dữ liệu: Định cấu hình ARP tĩnh trong Windows
Địa chỉ IP và MAC là gì
Địa chỉ IP là từ viết tắt của địa chỉ Giao thức Internet. Địa chỉ giao thức internet được sử dụng để xác định duy nhất một máy tính hoặc thiết bị như máy in, đĩa lưu trữ trên mạng máy tính. Hiện tại có hai phiên bản địa chỉ IP. IPv4 sử dụng số 32 bit. Do sự phát triển mạnh mẽ của Internet, IPv6 đã được phát triển và nó sử dụng các số 128-bit.
Địa chỉ IPv4 được định dạng theo bốn nhóm số được phân tách bằng dấu chấm. Số tối thiểu là 0 và số tối đa là 255. Ví dụ về địa chỉ IPv4 trông như thế này;
127.0.0.1
Địa chỉ IPv6 được định dạng theo nhóm sáu số được phân tách bằng dấu hai chấm đầy đủ. Các số của nhóm được viết dưới dạng 4 chữ số thập lục phân. Ví dụ về địa chỉ IPv6 trông như thế này;
2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334
Để đơn giản hóa việc biểu diễn địa chỉ IP ở định dạng văn bản, các số không đứng đầu bị bỏ qua và nhóm các số không hoàn thành bị bỏ qua. Địa chỉ trên ở định dạng đơn giản được hiển thị dưới dạng;
2001: db8: 85a3 ::: 8a2e: 370: 7334
Địa chỉ MAC là từ viết tắt của địa chỉ điều khiển truy cập phương tiện. Địa chỉ MAC được sử dụng để xác định duy nhất các giao diện mạng cho giao tiếp ở lớp vật lý của mạng. Địa chỉ MAC thường được nhúng vào card mạng.
Địa chỉ MAC giống như số sê-ri của điện thoại trong khi địa chỉ IP giống như số điện thoại.
Tập thể dục
Chúng tôi sẽ giả sử bạn đang sử dụng cửa sổ cho bài tập này. Mở dấu nhắc lệnh.
Nhập lệnh
ipconfig /all
Bạn sẽ nhận được thông tin chi tiết về tất cả các kết nối mạng có sẵn trên máy tính của bạn. Kết quả hiển thị bên dưới là cho modem băng thông rộng hiển thị địa chỉ MAC và định dạng IPv4 và mạng không dây hiển thị định dạng IPv6.
Ngộ độc ARP là gì?
ARP là từ viết tắt của Address Resolution Protocol . Nó được sử dụng để chuyển đổi địa chỉ IP thành địa chỉ vật lý [địa chỉ MAC] trên một bộ chuyển mạch. Máy chủ gửi một chương trình phát sóng ARP trên mạng và máy tính người nhận phản hồi bằng địa chỉ thực của nó [Địa chỉ MAC]. Địa chỉ IP / MAC được phân giải sau đó được sử dụng để giao tiếp. Đầu độc ARP là gửi địa chỉ MAC giả đến bộ chuyển mạch để nó có thể liên kết địa chỉ MAC giả với địa chỉ IP của máy tính chính hãng trên mạng và chiếm đoạt lưu lượng truy cập .
Các biện pháp đối phó với ngộ độc ARP
Các mục ARP tĩnh : chúng có thể được xác định trong bộ đệm ARP cục bộ và công tắc được định cấu hình để bỏ qua tất cả các gói trả lời ARP tự động. Nhược điểm của phương pháp này là khó duy trì trên các mạng lớn. Ánh xạ địa chỉ IP / MAC phải được phân phối cho tất cả các máy tính trong mạng.
Phần mềm phát hiện nhiễm độc ARP : các hệ thống này có thể được sử dụng để kiểm tra chéo độ phân giải địa chỉ IP / MAC và chứng nhận chúng nếu chúng được xác thực. Các độ phân giải địa chỉ IP / MAC chưa được chứng nhận sau đó có thể bị chặn.
Bảo mật hệ điều hành : biện pháp này phụ thuộc vào hệ điều hành được sử dụng. Sau đây là các kỹ thuật cơ bản được sử dụng bởi các hệ điều hành khác nhau.
- Dựa trên Linux : chúng hoạt động bằng cách bỏ qua các gói trả lời ARP không được yêu cầu.
- Microsoft Windows : hành vi bộ nhớ cache ARP có thể được định cấu hình thông qua sổ đăng ký. Danh sách sau đây bao gồm một số phần mềm có thể được sử dụng để bảo vệ mạng khỏi bị đánh hơi;
- AntiARP - cung cấp khả năng bảo vệ chống lại cả đánh hơi thụ động và chủ động
- Agnitum Outpost Firewall - cung cấp khả năng bảo vệ chống lại việc đánh hơi thụ động
- XArp - cung cấp khả năng bảo vệ chống lại cả đánh hơi thụ động và chủ động
- Mac OS : ArpGuard có thể được sử dụng để bảo vệ. Nó bảo vệ chống lại cả đánh hơi chủ động và thụ động.
Hoạt động lấy cắp dữ liệu: Định cấu hình các mục ARP trong Windows
Chúng tôi đang sử dụng Windows 7 cho bài tập này, nhưng các lệnh cũng có thể hoạt động trên các phiên bản windows khác.
Mở dấu nhắc lệnh và nhập lệnh sau
arp -a
ĐÂY,
- apr gọi chương trình cấu hình ARP nằm trong thư mục Windows / System32
- -a là tham số để hiển thị nội dung của bộ nhớ cache ARP
Bạn sẽ nhận được kết quả tương tự như sau
Lưu ý : các mục nhập động được thêm và xóa tự động khi sử dụng phiên TCP / IP với máy tính từ xa.
Các mục nhập tĩnh được thêm theo cách thủ công và sẽ bị xóa khi máy tính được khởi động lại và thẻ giao diện mạng được khởi động lại hoặc các hoạt động khác ảnh hưởng đến nó.
Thêm các mục nhập tĩnh
Mở dấu nhắc lệnh sau đó sử dụng lệnh ipconfig / all để lấy địa chỉ IP và MAC
Địa chỉ MAC được biểu diễn bằng Địa chỉ vật lý và địa chỉ IP là IPv4Address
Nhập lệnh sau
arp -s 192.168.1.38 60-36-DD-A6-C5-43
Lưu ý: Địa chỉ IP và MAC sẽ khác với địa chỉ được sử dụng ở đây. Điều này là do chúng là duy nhất.
Sử dụng lệnh sau để xem bộ nhớ cache ARP
arp -a
Bạn sẽ nhận được kết quả sau
Lưu ý rằng địa chỉ IP đã được phân giải thành địa chỉ MAC mà chúng tôi cung cấp và nó thuộc loại tĩnh.
Xóa mục nhập bộ nhớ cache ARP
Sử dụng lệnh sau để xóa mục nhập
arp -d 192.168.1.38
Đầu độc PS ARP hoạt động bằng cách gửi địa chỉ MAC giả mạo đến bộ chuyển mạch