《地址解析协议 Address Resolution Protocol》由会员分享,可在线阅读,更多相关《地址解析协议 Address Resolution Protocol(11页珍藏版)》请在金锄头文库上搜索。
1、ARPARPARP,即地址解析协议,实现通过 IP 地址得知其物理地址。在 TCP/IP 网络环境下,每个主 机都分配了一个 32 位的 IP 地址,这种互联网地址是在网际范围标识主机的一种逻辑地址。 为了让报文在物理网路上传送,必须知道对方目的主机的物理地址。这样就存在把 IP 地址 变换成物理地址的地址转换问题。以以太网环境为例,为了正确地向目的主机传送报文, 必须把目的主机的 32 位 IP 地址转换成为 48 位以太网的地址。这就需要在互连层有一组服 务将 IP 地址转换为相应物理地址,这组协议就是 ARP 协议。另有电子防翻滚系统也称为 ARP。地址解析协议 Address Reso
2、lution Protocol基基本本功功能能在以太网协议中规定,同一局域网中的一台 主机要和另一台主机进行 直接通信,必须要知道目标主机的MAC 地址。而在 TCP/IP 协议栈中,网络 层和传输层只关心目标主机的 IP 地址。这就导致在以太网中使用 IP 协议 时,数据链路层的以太网协议接到上层IP 协议提供的数据中,只包含目的 主机的 IP 地址。于是需要一种方法,根据目的主机的IP 地址,获得其 MAC 地址。这就是 ARP 协议要做的事情。所谓 地地址址解解析析(a ad dd dr re es ss s r re es so ol lu ut ti io on n)就是主机在发送帧
3、前将目标 IP 地址转换成目标 MAC 地址的过 程。 另外,当发送主机和目的主机不在同一个 局域网中时,即便知道目的 主机的 MAC 地址,两者也不能直接通信,必须经过 路由转发才可以。所以 此时,发送主机通过 ARP 协议获得的将不是目的主机的真实MAC 地址,而 是一台可以通往局域网外的 路由器的某个端口的 MAC 地址。于是此后发送 主机发往目的主机的所有帧,都将发往该路由器,通过它向外发送。这种情 况称为 A AR RP P 代代理理(A AR RP P P Pr ro ox xy y)。 工工作作原原理理在每台安装有 TCP/IP 协议的电脑里都有一个 ARP 缓存表,表里的 IP
4、 地址 与 MAC 地址是一一对应的。 以主机 A(192.168.1.5)向主机 B(192.168.1.1)发送数据为例。当发送 数据时,主机 A 会在自己的 ARP 缓存表中寻找是否有目标 IP 地址。如果找 到了,也就知道了目标 MAC 地址,直接把目标 MAC 地址写入帧里面发送就 可以了;如果在 ARP 缓存表中没有找到目标 IP 地址,主机 A 就会在网络上 发送一个广播, A 主机 MAC 地址是“主机 A 的 MAC 地址”,这表示向同一网段内的所有主机发出这样的询问: “我是 192.168.1.5,我的硬件地址是 “ 主机 A 的 MAC 地址“.请问 IP 地址为 19
5、2.168.1.1 的 MAC 地址是什么? ” 网络上其他主机并不响应 ARP 询问,只有主机 B 接收到这个帧时,才向主 机 A 做出这样的回应: “192.168.1.1 的 MAC 地址是 00-aa-00-62-c6-09”。 这样,主机 A 就知道了主机 B 的 MAC 地址,它就可以向主机 B 发送信息了。 同时 A 和 B 还同时都更新了自己的 ARP 缓存表(因为 A 在询问的时候把自 己的 IP 和 MAC 地址一起告诉了 B),下次 A 再向主机 B 或者 B 向 A 发送信 息时,直接从各自的 ARP 缓存表里查找就可以了。 ARP 缓存表采用了老化 机制(即设置了生存
6、时间 TTL),在一段时间内(一般 15 到 20 分钟)如 果表中的某一行没有使用,就会被删除,这样可以大大减少ARP 缓存表的 长度,加快查询速度。 ARP 攻击就是通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗,能够在网络 中产生大量的 ARP 通信量使网络阻塞,攻击者只要持续不断的发出伪造的 ARP 响应包就能更改目标主机 ARP 缓存中的 IP-MAC 条目,造成网络中断或 中间人攻击。 ARP 攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP 木马,则感染该 ARP 木马的系统将会试图通过 “ARP 欺骗”手段截获所在 网络内其它计算机的通信信息,并因此造成网内其
7、它计算机的通信故障。 RARP 的工作原理: 1 发送主机发送一个本地的 RARP 广播,在此广播包中,声明自己的 MAC 地址并且请求任何收到此请求的 RARP 服务器分配一个 IP 地址; 2 本地网段上的 RARP 服务器收到此请求后,检查其 RARP 列表,查 找该 MAC 地址对应的 IP 地址; 3 如果存在, RARP 服务器就给源主机发送一个响应 数据包并将此IP 地址提供给对方主机使用; 4 如果不存在, RARP 服务器对此不做任何的响应; 5 源主机收到从 RARP 服务器的响应信息,就利用得到的IP 地址进 行通讯;如果一直没有收到 RARP 服务器的响应信息,表示初始
8、化失败。 6如果在第 1-3 中被 ARP 病毒攻击,则服务器做出的反映就会被占用, 源主机同样得不到 RARP 服务器的响应信息,此时并不是服务器没有响应而 是服务器返回的源主机的 IP 被占用。 数数据据结结构构ARP 协议的数据结构: typedef structarphdr unsigned short arp_hrd;/*硬件类型*/ unsigned short arp_pro;/*协议类型*/ unsigned char arp_hln;/*硬件地址长度 */ unsigned char arp_pln;/*协议地址长度*/ unsigned short arp_op;/*ARP
9、 操作类型*/ unsigned char arp_sha6;/*发送者的硬件地址 */ unsigned long arp_spa;/*发送者的协议地址 */ unsigned char arp_tha6;/*目标的硬件地址 */ unsigned long arp_tpa;/*目标的协议地址 */ ARPHDR,*PARPHDR; RARP 反反向向地地址址解解析析协协议议反向地址解析协议用于一种特殊情况,如果站点被初始化后,只有自己 的物理网络地址而没有 IP 地址,则它可以通过 RARP 协议,并发出广播请 求,征求自己的 IP 地址,而 RARP 服务器则负责回答。这样无 IP 的站
10、点可 以通过 RARP 协议取得自己的 IP 地址,这个地址在下 一次系统重新开始以 前都有效,不用连续广播请求。 RARP 广泛用于获取无盘工作站的 IP 地址。ARP 缓缓存存表表查查看看方方法法ARP 缓存表是可以查看的,也可以添加和修改。在 命令提示符 下,输 入“arp -a”就可以查看 ARP 缓存表中的内容了,如附图所示。 用“arp -d”命令可以删除 ARP 表中所有的内容; 用“arp -d +空格+ ” 可以删除指定 ip 所在行的内容 用“arp -s”可以手动在 ARP 表中指定 IP 地址与 MAC 地址的对应,类 型为 static(静态),静态 ARP 缓存除非
11、手动清除,否则不会丢失。无论是 静态还是动态 ARP 缓存,重启启动计算机后都会丢失。ARP 欺骗其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP 欺骗在作怪。 ARP 欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大 患。从影响网络连接通畅的方式来看, ARP 欺骗分为二种,一种是对路由器 ARP 表的欺骗;另一种是对内网 PC 的网关欺骗。第一种 ARP 欺骗的原理是 截获网关数据。它通知路由器一系列错误的内网MAC 地址,并按照一 定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC 地址,造成正常 PC 无法收到信
12、 息。第二种 ARP 欺骗的原理是 伪造网关。它的原理是建立假网关,让被 它欺骗的 PC 向假网关发数据,而不是通过正常的路由器途径上网。在PC 看来,就是上不了网了, “网络掉线了 ”。一般来说, ARP 欺骗攻击的后 果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解, 出现故障时,认为 PC 没有问题,交换机没掉线的 “本事”,电信也不承认 宽带故障。而且如果第一种 ARP 欺骗发生时,只要重启路由器,网络就能全 面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。 作为网吧路由器的厂家,对防范 ARP 欺骗不得已做了不少份内、份外的工 作。一、在宽带路由器中
13、把所有 PC 的 IP-MAC 输入到一个静态表中,这叫 路由器 IP-MAC 绑定。二、力劝 网管员在内网所有 PC 上设置网关的静态 ARP 信息,这叫 PC 机 IP-MAC 绑定。一般厂家要求两个工作都要做,称其为 IP-MAC 双向绑定。显示和修改 “地址解析协议 ”(ARP) 所使用的到以太网 的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议之后 才可用。 arp -a inet_addr -N if_addr arp arp -d inet_addr if_addr arp -s inet_addr ether_addr if_addr 参数 -a 通过询
14、问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr,则只 显示指定计算机的 IP 和物理地址。 -g 与 -a 相同。 inet_addr 以加点的十进制标记指定 IP 地址。 -N 显示由 if_addr 指定的网络界面 ARP 项。 if_addr 指定需要修改其地址转换表接口的 IP 地址(如果有的话)。如果不 存在,将使用第一个可适用的接口。 -d 删除由 inet_addr 指定的项。 -s 在 ARP 缓存中添加项,将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物理地址由以连字符分隔的6 个十六进制字节给定。使用带点的十进制标记指定
15、 IP 地址。项是永久性的,即在超时到期后项 自动从缓存删除。 ether_addr 指定物理地址。遭受 ARP 攻击后现象ARP 欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如 客户端状态频频变红,用户频繁断网, IE 浏览器频繁 出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的, 会突然出现可认证,但不能上网的现象(无法ping 通网关),重启机器或 在 MS-DOS 窗口下运行命令 arp -d 后,又可恢复上网。 ARP 欺骗木马只需成功感染一台 电脑,就可能导致整个局域网都无法上 网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除
16、了会导致同一局 域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取 QQ 密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来 做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大 的经济损失。常用的维护方法搜索网上,目前对于 ARP 攻击防护问题出现最多是绑定 IP 和 MAC 和使用 ARP 防护软件,也出现了具有 ARP 防护功能的路由器。下面来了解以下三种 方法:静静态态绑绑定定、A An nt ti ia ar rp p 和具具有有 A AR RP P 防防护护功功能能的的路路由由器器 。 静静态态绑绑定定最常用的方法就是做 IP 和 MAC 静态绑定,在网内把主机和网关都做 IP 和 MAC 绑定。 欺骗是通过 ARP 的动态实时的规则欺骗内网机器,所以我们把ARP 全 部设置为静态可以解决对内网 PC 的欺骗,同时在网关也要进行 IP 和 MAC 的静态绑定,这样双向绑定才比较保险。 方法: 对每台主机进行
