收藏
下载资源

arp协议9782954494

上传人:xzh****18 文档编号:34726409 上传时间:2018-02-28 格式:DOC 页数:8 大小:64KB
返回 下载 相关 举报
arp协议9782954494_第1页
第1页 / 共8页
arp协议9782954494_第2页
第2页 / 共8页
arp协议9782954494_第3页
第3页 / 共8页
arp协议9782954494_第4页
第4页 / 共8页
arp协议9782954494_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《arp协议9782954494》由会员分享,可在线阅读,更多相关《arp协议9782954494(8页珍藏版)》请在金锄头文库上搜索。

1、 我们知道,当我们在 浏览器 里面输入网址时, DNS 服务器会自动把它 解析 为 IP 地址,浏览器实际上查找的是 IP 地址而不是网址。那么 IP 地址是如何转换为第二层 物理地址(即 MAC 地址 )的呢?在局域网中,这是通过 ARP 协议来完成的。 ARP 协议对网络安全具有重要的意义。通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗,能 够在网络中产生大量的 ARP 通信量使网络阻塞。所以网管们应深入理解 ARP 协议。编辑本段 一、什么是 ARP 协议ARP 协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网 中,网络中实际传输的

2、是 “帧”,帧里面是有目标主机的 MAC 地址的。在 以太网 中, 一个主机和另一个主机进行直接通信,必须要知道目标主机的 MAC 地址。但这个目 标 MAC 地址是如何获得的呢?它就是通过地址解析协议获得的。所谓 “地址解析”就 是主机在发送帧前将目标 IP 地址转换成目标 MAC 地址的过程。 ARP 协议的基本功 能就是通过目标设备的 IP 地址,查询目标设备的 MAC 地址,以保证通信的顺利进行。ARP 协议主要负责将局域网中的 32 位 IP 地址转换为对应的 48 位物理地址 ,即 网卡的 MAC 地址,比如 IP 地址位 192.168.0.1 网卡 MAC 地址为 00-03-

3、0F-FD-1D- 2B.整个转换过程是一台主机先向目标主机发送包含有 IP 地址和 MAC 地址的数据包 ,通 过 MAC 地址两个主机就可以实现数据传输了 . 编辑本段 二、ARP 协议的工作原理在每台安装有 TCP/IP 协议 的电脑里都有一个 ARP 缓存表,表里的 IP 地址与 MAC 地址是一一对应的,如附表所示。附表我们以主机 A(192.168.1.5)向主机 B(192.168.1.1)发送数据为例。当发送 数据时,主机 A 会在自己的 ARP 缓存表中寻找是否有目标 IP 地址。如果找到了, 也就知道了目标 MAC 地址,直接把目标 MAC 地址写入帧里面发送就可以了;如果

4、在 ARP 缓存表中没有找到相对应的 IP 地址,主机 A 就会在网络上发送一个广播,目标 MAC 地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问: “192.168.1.1 的 MAC 地址是什么? ”网络上其他主机并不响应 ARP 询问,只有主机 B 接收到这个帧时,才向主机 A 做出这样的回应: “192.168.1.1 的 MAC 地址是 00- aa-00-62-c6-09”。这样,主机 A 就知道了主机 B 的 MAC 地址,它就可以向主机 B发送信息了。同时它还更新了自己的 ARP 缓存表,下次再向主机 B 发送信息时,直 接从 ARP

5、缓存表里查找就可以了。 ARP 缓存表采用了老化机制,在一段时间内如果 表中的某一行没有使用,就会被删除,这样可以大大减少 ARP 缓存表的长度,加快 查询速度。ARP 攻击就是通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗,能够在网络中产生 大量的 ARP 通信量使网络阻塞,攻击者只要持续不断的发出伪造的 ARP 响应包就 能更改目标主机 ARP 缓存中的 IP-MAC 条目,造成网络中断或中间人攻击。ARP 攻击主要是存在于局域网网络中,局域网中若有一个人感染 ARP 木马,则 感染该 ARP 木马的系统将会试图通过 “ARP 欺骗”手段截获所在网络内其它计算机的 通信信息,并因此

6、造成网内其它计算机的通信故障。RARP 的工作原理:1. 发送主机发送一个本地的 RARP 广播,在此广播包中,声明自己的 MAC 地 址并且请求任何收到此请求的 RARP 服务器分配一个 IP 地址;2. 本地网段上的 RARP 服务器收到此请求后,检查其 RARP 列表,查找该 MAC 地址对应的 IP 地址;3. 如果存在, RARP 服务器就给源主机发送一个响应数据包并将此 IP 地址提供 给对方主机使用;4. 如果不存在, RARP 服务器对此不做任何的响应;5. 源主机收到从 RARP 服务器的响应信息,就利用得到的 IP 地址进行通讯;如 果一直没有收到 RARP 服务器的响应信

7、息,表示初始化失败。6.如果在第 1-3 中被 ARP 病毒攻击,则服务器做出的反映就会被占用,源主机同 样得不到 RARP 服务器的响应信息,此时并不是服务器没有响应而是服务器返回的源 主机的 IP 被占用。 编辑本段 三.ARP 和RARP 报头结构ARP 和 RARP 使用相同的报头结构,如图所示。报送格式硬件类型字段:指明了发送方想知道的硬件接口类型,以太网的值为 1;协议类型字段:指明了发送方提供的高层协议类型, IP 为 0800(16 进制);硬件地址长度和协议长度:指明了硬件地址和高层协议地址的长度,这样 ARP 报文就可以在任意硬件和任意协议的网络中使用; 操作字段:用来表示

8、这个报文的类型, ARP 请求为 1,ARP 响应为 2,RARP 请求为 3,RARP 响应为 4;发送方的硬件地址( 0-2 字节):源主机硬件地址的前 3 个字节;发送方的硬件地址( 3-5 字节):源主机硬件地址的后 3 个字节;发送方 IP(0-1 字节):源主机硬件地址的前 2 个字节;发送方 IP(2-3 字节):源主机硬件地址的后 2 个字节;目的硬件地址( 0-1 字节):目的主机硬件地址的前 2 个字节;目的硬件地址( 2-5 字节):目的主机硬件地址的后 4 个字节;目的 IP(0-3 字节):目的主机的 IP 地址。 编辑本段 四、如何查看 ARP 缓存表ARP 缓存

9、表是可以查看的,也可以添加和修改。在命令提示符下,输入 “arp -a” 就可以查看 ARP 缓存表中的内容了,如附图所示。用“arp -d”命令可以删除 ARP 表中所有的内容;用“arp -d +空格+ ” 可以删除指定 ip 所在行的内容用“arp -s”可以手动在 ARP 表中指定 IP 地址与 MAC 地址的对应,类型为 static(静态),此项存在硬盘中,而不是缓存表,计算机重新启动后仍然存在,且遵循 静态优于动态的原则,所以这个设置不对,可能导致无法上网 . 编辑本段 五、ARP 欺骗其实,此起彼伏的瞬间掉线或大面积的断网大都是 ARP 欺骗 在作怪。ARP 欺骗 攻击已经成了

10、破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。 从影响网络连接通畅的方式来看, ARP 欺骗分为二种,一种是对路由器 ARP 表 的欺骗;另一种是对内网 PC 的网关欺骗。 第一种 ARP 欺骗的原理是 截获网关数据。它通知路由器一系列错误的内网 MAC 地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由 器中,结果路由器的所有数据只能发送给错误的 MAC 地址,造成正常 PC 无法收到 信息。第二种 ARP 欺骗的原理是 伪造网关。它的原理是建立假网关,让被它欺 骗的 PC 向假网关发数据,而不是通过正常的路由器途径上网。在 PC 看来,就是上 不了网了, “网络

11、掉线了 ”。 一般来说, ARP 欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有 些网管员对此不甚了解,出现故障时,认为 PC 没有问题,交换机没掉线的 “本事”, 电信也不承认宽带故障。而且如果第一种 ARP 欺骗发生时,只要重启路由器,网络 就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少 “黑锅”。 作为网吧路由器的厂家,对防范 ARP 欺骗不得已做了不少份内、份外的工作。 一、在宽带路由器中把所有 PC 的 IP-MAC 输入到一个静态表中,这叫路由器 IP- MAC 绑定。二、力劝网管员在内网所有 PC 上设置网关的静态 ARP 信息,这叫 PC 机 IP-M

12、AC 绑定。一般厂家要求两个工作都要做,称其为 IP-MAC 双向绑定。 显示和修改 “地址解析协议 ”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻 译表。该命令只有在安装了 TCP/IP 协议之后才可用。 arp -a inet_addr -N if_addr arp -d inet_addr if_addr arp -s inet_addr ether_addr if_addr 参数 -a 通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr,则只显示指定 计算机的 IP 和物理地址。 -g 与 -a 相同。 inet_addr 以加点的十进制标记指定

13、IP 地址。 -N 显示由 if_addr 指定的网络界面 ARP 项。 if_addr 指定需要修改其地址转换表接口的 IP 地址(如果有的话)。如果不存在,将使 用第一个可适用的接口。 -d 删除由 inet_addr 指定的项。 -s 在 ARP 缓存中添加项,将 IP 地址 inet_addr 和物理地址 ether_addr 关联。 物理地址由以连字符分隔的 6 个十六进制字节给定。使用带点的十进制标记指定 IP 地址。项是永久性的,即在超时到期后项自动从缓存删除。 ether_addr 指定物理地址。 编辑本段 六、遭受 ARP 攻击后现象ARP 欺骗木马的中毒现象表现为:使用局域

14、网时会突然掉线,过一段时间后又会 恢复正常。比如客户端状态频频变红,用户频繁断网, IE 浏览器频繁出错,以及一 些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但 不能上网的现象(无法 ping 通网关),重启机器或在 MS-DOS 窗口下运行命令 arp -d 后,又可恢复上网。 ARP 欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重 的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上 网出现时断时续的现象外,还会窃取用户密码。如盗取 QQ 密码、盗取各种网络游戏 密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活

15、动等,这是木马的惯用伎 俩,给用户造成了很大的不便和巨大的经济损失。 编辑本段 七:常用的维护方法搜索网上,目前对于 ARP 攻击防护问题出现最多是绑定 IP 和 MAC 和使用 ARP 防护软件,也出现了具有 ARP 防护功能的路由器。呵呵,我们来了解下这三种 方法。 3.1 静态绑定 最常用的方法就是做 IP 和 MAC 静态绑定,在网内把主机和网关都做 IP 和 MAC 绑定。 欺骗是通过 ARP 的动态实时的规则欺骗内网机器,所以我们把 ARP 全部设置 为静态可以解决对内网 PC 的欺骗,同时在网关也要进行 IP 和 MAC 的静态绑定,这 样双向绑定才比较保险。 方法: 对每台主机

16、进行 IP 和 MAC 地址静态绑定。 通过命令, arp -s 可以实现 “arp s IP MAC 地址 ”。 例如:“arp s 192.168.10.1 AA-AA-AA-AA-AA-AA”。 如果设置成功会在 PC 上面通过执行 arp -a 可以看到相关的提示: Internet Address Physical Address Type 192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)一般不绑定 ,在动态的情况下: Internet Address Physical Address Type 192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)说明:对于网络中有很多主机, 500 台,1000 台.,如果我们这样每一台都去做 静态绑定,工作量是非常大的。,这种静态绑定,在电脑每次重起后,都必须重 新在绑定,虽然也可以做一个批处理文件,但是还是比较麻烦的! 3.2 使用 ARP 防护软件 目前

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 商业合同/协议

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号