2403_86572967的博客

此时，目标与网关之间的所有流量都会先经过攻击者的设备，攻击者可实现流量监听、篡改甚至窃取数据（如账号密码、聊天内容等），即 “中间人攻击（Man-in-the-Middle, MITM）”。目标设备收到后，会将 ARP 缓存中 “网关 IP→网关 MAC” 的正确映射，替换为 “网关 IP→攻击者 MAC”。后续目标设备访问外网时，所有流量会被发送到攻击者的设备（而非真正的网关），导致目标断网或流量被劫持。后续网关转发给目标主机的流量，会被发送到攻击者的设备，实现对目标接收流量的劫持。

➢ 控制服务器：指控制和通信(C&C)的中心服务器特点：➢ 可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具➢ 有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来，可以一对多地执行相同的恶意行为。应用层攻击（在应用层级的攻击，建立在代码层级上高级的攻击）：web手段，reverse手段，pwn手段，dos攻击，钓鱼邮件攻击，数据库攻击（SQL注入），api攻击。**网络层级的攻击**：arp攻击，Mac洪泛攻击，syn欺骗攻击，dns攻击。

交换机依靠 MAC 地址表来实现数据帧的精准转发，该表记录着端口与相连主机 MAC 地址的对应关系。交换机具备自动学习机制，当收到一个数据帧时，会将帧中的源 MAC 地址与进入的端口号记录到 MAC 表中。同时，由于交换机的缓存有限，MAC 表能保存的条目数量也有限，并且具有老化机制，即长时间未使用的 MAC 地址表项会被删除。Mac 洪泛攻击正是利用了交换机的这些特性。攻击者通过工具（如 macof）发送海量伪造的以太网帧，每个帧都使用不同的源 MAC 地址。