免费ARP的作用
ARP、RARP、免费ARP、代理ARP及Inverse ARP
ARP、RARP、免费ARP、代理ARP及Inverse ARP ARP协议:ARP是已知对方IP地址,请求对方MAC地址的一种地址解释协议,其工作原理如下:1.在封装数据包时如果ARP缓存表中没有找到目标IP地址,主机A就会在本地网络上发送一个ARP广播,在此广播包中,声明自己的MAC地址及源、目标IP地址,请求目标IP主机回复其MAC地址;2.本地网络上其他主机收到后并不作ARP响应,目标主机B接收到该广播后,更新自己的ARP缓存,同时对主机A做ARP回应:“我的MAC地址是00-aa-00-62-c6-09”;3.主机A收到主机B的ARP回应后更新自己的ARP缓存,就知道主机B的MAC 地址了,它就可以向主机B发送信息了。
ARP缓存表采用了老化机制(即设置了生存时间TTL),在一段时间内(一般15到20分钟)如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
RARP(反向地址转换协议):用于一种特殊情况,如果站点被初始化后,只有自己的物理网络地址而没有IP 地址,则他可以通过RARP协议,并发出广播请求,征求自己的IP地址,而RARP 服务器则没有负责回答。
这样无IP的站点可以通过RARP协议取得自己的IP地址,这个地址在下一次系统重新开始以前都有效,不用连续广播请求。
RARP广泛用于获取无盘工作站的IP地址。
RARP的工作原理:1. 发送主机发送一个本地的RARP广播,在此广播包中,声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址;2. 本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC 地址对应的IP地址;3. 如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用;4. 如果不存在,RARP服务器对此不做任何的响应;5. 源主机收到从RARP服务器的响应信息,就利用得到的IP地址进行通讯;如果一直没有收到RARP服务器的响应信息,表示初始化失败。
交换机Gratuitous-ARP(免费ARP)侦测
Gratuitous ARP,被翻译为“免费ARP”,也被称为“无故ARP”,其实相比于“免费”这个翻译,“无故”会更好理解:“在没有人问自己的情况下,无缘无故自问自答”。
Gratuitous ARP不同于一般的ARP 请求,它并不是期待得到IP相应的MAC地址,而是当主机启动的时候,将发送一个Gratuitous arp请求,即请求自己的IP地址的MAC 地址。
免费ARP有以下两个作用:1.验证IP是否冲突一个主机能够通过它来确定还有一个主机是否设置了同样的IP 地址。
发送主机并不须要一定收到此请求的回答。
假设收到一个回答,表示网络中存在与自身IP同样的主机。
假设没有收到应答,则表示本机所使用的IP与网络中其他主机并不冲突。
2.更换物理网卡假设发送ARP的主机正好改变了物理地址(如更换物理网卡),能够使用此方法通知网络中其他主机及时更新ARP缓存。
免费ARP动作:disable、request、reply,及request和reply,当为disable时,该协议模块不会周期发送免费ARP,request时会定期向外发送免费ARP,免费ARP动作中实际只有disable和request有效,只有在收到request请求时,才会往外发送reply报文。
兆越通讯交换机可以通过发送免费ARP报文来确定网络中其它设备的IP地址是否与自己冲突。
免费ARP报文中携带的源IP和目的IP地址都是交换机本机地址,报文源MAC地址是本机MAC地址。
兆越通讯交换机缺省情况下即可以对接收到的免费ARP报文进行处理,当收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址冲突,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
同时交换机也会通过日志来告知用户网络中出现了IP地址冲突。
缺省情况下,兆越通讯交换机的免费ARP报文发送功能处于关闭状态。
可以通过下面的命令在交换机的路由端口上配置免费ARP 功能。
免费ARP——精选推荐
免费ARP1. 免费ARP基本概念 免费ARP,也叫Gratutious ARP、⽆故ARP。
这种ARP不同于⼀般的ARP请求,它的Sender IP和Target IP字段是相同的,相当于是请求⾃⼰的IP地址对应的MAC地址。
发送免费ARP的主机或者设备,往往并不希望收到⼀个ARP应答。
因为若是收到了,说明⽹络上有⼈使⽤相同的IP,这会造成IP冲突。
免费ARP是⼀个⼴播ARP请求报⽂2. ⼀个Gratutious ARP报⽂ 从这个报⽂中可以看出,免费ARP是⼀个⼴播请求,且Serder IP和Target IP字段是相同的。
3. 哪些场景中可以出现免费ARP 主机/系统启动期间,进⾏⽹⼝/接⼝配置时产⽣; ⽹卡进⾏了某些配置变动,导致⽹⼝重新启动(如插拔⽹线,⾃动获取IP地址,⼿动更改IP地址、掩码、⽹关等参数)。
在实际研究过程中,win10系统的电脑⽹线插拔时,能出现免费ARP请求报⽂,但是win7的电脑同样操作,我未抓到免费ARP; 路由器等设备定期更新免费ARP,以防⽌不法者进⾏ARP欺骗(只能⼀定程度上防⽌)4. 免费ARP作⽤ 4.1 验证IP是否冲突 ⼀个主机可以这个免费ARP来确定同⼀个⽹络中,是否有其他设备使⽤了这个IP地址。
若是发送者收到⼀个回答,表⽰⽹络中存在与⾃⾝IP同样的主机;若是没有收到应答,则表⽰本机所使⽤的IP与⽹络中其他主机并不冲突。
4.2 双机热备 很多系统采⽤双机热备机制,⼀个为主设备,⼀个为从设备,两者MAC地址不同(设为MAC1和MAC2),但是通过某种软件,让其对外的IP是相同的(设为IP)。
正常情况下: 主设备正常⼯作,从设备空闲,⽹络中的客户机的ARP缓存条⽬为: MAC1--IP;但是当某个时刻主设备出故障,从设备就接管主设备的⼯作,且从设备⽴即⼴播免费ARP请求报⽂,让⽹络中的客户机及时更新ARP缓存表: MAC2--IP,这样客户机的业务不会收到影响 4.3 ⽹关定期刷新 这个主要是⽤在⽹关设备(如路由器)上。
ARP协议作用
前言:ARP协议的作用:1. 什么是ARP?ARP (Address Resolution Protocol) 是个地址解析协议。
最直白的说法是:在IP以太网中,当一个上层协议要发包时,有了该节点的IP地址,ARP就能够够提供该节点的MAC地址。
2为何要有ARP?OSI 模式把网络工作分为七层,彼此不直接打交道,只通过接口(layre interface). IP地址在第三层, MAC地址在第二层。
协议在发生数据包时,第一要封装第三层(IP地址)和第二层(MAC地址)的报头, 但协议只明白目的节点的IP地址,不明白其物理地址,又不能跨第二、三层,因此得用ARP的效劳。
详细说明:Ø在网络通信时,源主机的应用程序明白目的主机的IP地址和端口号,却不明白目的主机的硬件地址,而数据包第一是被网卡接收到再去向理上层协议的,假设是接收到的数据包的硬件地址与本机不符,那么直接抛弃。
因此在通信前必需取得目的主机的硬件地址。
ARP协议就起到那个作用Ø当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时,是依照48位的以太网地址来确信目的接口的,设备驱动程序从不检查IP数据报中的目的IP地址。
ARP(地址解析)模块的功能为这两种不同的地址形式提供映射:32位的IP地址和48位的以太网地址一.ARP报文各字段含义:ARP报文字段总共有28个字节1.硬件类型:占2个字节,说明ARP实此刻何种类型的网络上。
Ø值为1:表示以太网。
2.协议类型:占2个字节表示要映射的协议地址类型。
ØIP:08003.硬件地址长度:占1个字节,表示MAC地址长度,其值为6个字节。
4.协议地址长度:占1个字节,表示IP地址长度,此处值4个字节5.操作类型:占2个字节,表示ARP数据包类型。
Ø值为1表示ARP请求。
Ø值2表示ARP应答。
6.源MAC地址:占6个字节,表示发送端MAC地址7.源IP地址:占4个字节,表示发送端IP地址8.目的以太网地址:占6个字节,表示目标设备的MAC物理地址9.目的IP地址:占4个字节,表示目标设备的IP地址.注意:在ARP操作中,有效数据的长度为28个字节,不足以太网的最小长度46字节长度,需要填充字节,填充字节最小长度为18个字节二.ARP请求分组或应答分组以太网首部总共有14字节数据,arp请求报文总共有28字节。
DA知识点
1、一个完整的数据通信系统由报文、发送方、接收方、介质和协议五个部分组成。
2、单工(键盘、显示器)、半双工(对讲机)、全双工(电话网络)3、常见的网络拓扑结构:总线、星型、树型、环型和网型。
4、局域网的特点:距离短、延迟小、数据速率高、传输可靠。
5、局域网的常用网络设备:线缆、网卡、集线器、交换机、路由器、ATM交换机。
6、广域网的分类:综合业务数字网ISDN、数字数据网DDN、X.25分组交换网、帧中继Frame Relay、异步传输模式A TM。
7、广域网的常用设备:Modem、路由器、广域网交换机、接入服务器。
8、标准化组织:国际标准化组织(ISO International Organization for Standardization),电子电器工程师协会(IEEE Institute of Electronics Engineers),美国国家标准局(ANSI American National Standards Institute),电子工业协会(EIA/TIA Electronic Industries Association/Telecomm Industries Association),国际电信联盟(ITU International Telecomm Union),INTERNET工程任务委员会(IETF Internet Engineering Task Force)。
9、一个完整的IP网络分为:骨干网、城域网和接入网。
城域网一般可分为核心层、汇接局和接入层。
10、常见的Internet接入方式有ADSL接入、以太网接入和专线接入。
11、BGP/MPLS VPN模型由三个部分组成:CE、PE和P。
12、对IP骨干网的要求:高靠性、灵活性和可扩展性、扁平化、QoS合理规划、可运营管理。
13、骨干网的网络结构:平面分层结构、平面+空间分层结构。
14、OSI RM分为七层:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
ARP协议
引言
因此需要能够将逻辑地址和相应的物理地 址之间进行映射。完成这样的映射可使用 静态映射和动态映射。 静态映射:创建一个表,存储逻辑地址和 物理地址的关联关系。然后将网络上的每 个主机都存储这个表。缺点是映射表必须 周期的更新,增加了网络的开销。
引言
动态映射:地址解析协议ARP和逆地 址解析协议RARP
7.目的主机收到广播报文
后,知道是发送端在询 问它的IP地址,发送 ARP应答,包含他自己 的IP地址及硬件地址。
4.若目的主机在本 地网络上,则IP数 据报直接送到目的 主机。若目的主机 在远程网络上,则 发到本地路由器, 再转发 IP 数据报。 9. 发送 IP 数据 报到目的主机
ARP-分组格式
既然每个以太网设备在出厂时都有一个唯一的MAC地址了,那 为什么还需要为每台主机再分配一个IP地址呢?或者说为什么 每台主机都分配唯一的IP地址了,为什么还要在网络设备(如 网卡,集线器,路由器等)生产时内嵌一个唯一的MAC地址呢? 主要原因有以下几点:(1)IP地址的分配是根据网络的拓朴 结构,而不是根据谁制造了网络设置。若将高效的路由选择方 案建立在设备制造商的基础上而不是网络所处的拓朴位置基础 上,这种方案是不可行的。(2)当存在一个附加层的地址寻 址时,设备更易于移动和维修。例如,如果一个以太网卡坏了, 可以被更换,而无须取得一个新的IP地址。如果一个IP主机从 一个网络移到另一个网络,可以给它一个新的IP地址,而无须 换一个新的网卡。(3)无论是局域网,还是广域网中的计算 机之间的通信,最终都表现为将数据包从某种形式的链路上的 初始节点出发,从一个节点传递到另一个节点,最终传送到目 的节点。数据包在这些节点之间的移动都是由ARP(Address Resolution Protocol:地址解析协议)负责将IP地址映射到 MAC地址上来完成的。
ARP协议学习
ARP原理(1)A R P发送一份称作A R P请求的以太网数据帧给以太网上的每个主机。
这个过程称作广播,如图(ARP)中的虚线所示。
A R P请求数据帧中包含目的主机的I P地址(主机名为b s d i),其意思是“如果你是这个I P地址的拥有者,请回答你的硬件地址。
”(2)目的主机的A R P层收到这份广播报文后,识别出这是发送端在寻问它的I P地址,于是发送一个A R P应答。
这个A R P应答包含I P地址及对应的硬件地址。
(注:如果目的主机不存在,根据TCP重传机制,一般将在75秒后不再重新发送。
)(3)收到A R P应答后,使A R P进行请求—应答交换的I P数据报现在就可以传送了。
(4)发送I P数据报到目的主机。
ARP高速缓存A R P高效运行的关键是由于每个主机上都有一个A R P高速缓存。
这个高速缓存存放了最近I n t e r n e t地址到硬件地址之间的映射记录。
高速缓存中每一项的生存时间一般为2 0分钟,起始时间从被创建时开始算起。
ARP的分组格式在以太网上解析I P地址时,A R P请求和应答分组的格式如下图所示抓包截图:以太网目的地址就是目标MAC地址。
如上图中的就是广播给所有人。
以太网源地址就是源MAC地址。
帧类型就是说明后面数据类型。
对于ARP请求或英达来说,该字段的值为0x0806。
可见抓包图形容词hardware(硬件)和protocol(协议)用来描述ARP分组中的各个字段。
例如,一个ARP请求分组询问协议地址(这里是I P地址)对应的硬件地址(这里是以太网地址)。
硬件类型字段表示硬件地址的类型。
它的值为1即表示以太网地址。
如抓包图:一个是以太网址,一个是IP地址接下来两个字段规定后四个字段的长度op操作字段指出四种操作类型,它们是A R P请求(值为1)、A R P应答(值为2)、R A R P请求(值为3)和R A R P应答(值为4)。
这个字段必需的,因为A R P请求和A R P应答的帧类型字段值是相同的。
tcpIP复习资料
tcpIP复习资料第⼀章:1.TCP/IP为什么要分层,分层的作⽤是什么?答:⽹络协议通常分不同的层次开发,每⼀层负责不同的通信功能。
⼀个协议族,⽐如tcp/ip,是⼀组不同层次上的多核协议的组合。
TCP/IPD的分层如下:链路层,包括操作系统中的设备驱动程序和计算机中对应的⽹络接⼝卡,其作⽤是把物理链路转换成可靠的数据链路⽹络层,处理分组在⽹络中的活动,例如分组的选路。
运输层,主要为两台主机上的应⽤程序提供端到端的通信。
应⽤层,负责处理特定的应⽤程序细节。
第⼆章:1.什么是MTU?什么事路径MTU?答:MTU是链路层的特性,即最⼤传输单元,不同类型的⽹络对数据帧的长度有不同的上限。
路径MTU指的是两台通信主机路径中最⼩的MTU。
2、MTU与路径MTU(最⼤传输单元MTU)如果IP层有⼀个数据报要传,⽽且数据的长度⽐链路层的MTU还⼤,那么IP 层就需要进⾏分⽚-fragmentation-把数据报分成若⼲⽚,这样每⼀⽚都⼩于MTU 路径mtu:当在同⼀个⽹络上的两台主机互相进⾏通信时,该⽹络的MTU是⾮常重要的。
但是如果两台主机之间的通信要通过多个⽹络,那么每个⽹络的链路层就可能有不同的MTU。
重要的不是两台主机所在⽹络的MTU的值,重要的是两台通信主机路径中的最⼩MTU。
它被称作路径MTU。
两台主机之间的路径MTU不⼀定是个常数。
它取决于当时所选择的路由。
⽽选路不⼀定是对称的(从A到B的路由可能与从B到A的路由不同),因此路径MTU在两个⽅向上不⼀定是⼀致的。
3.ppp(点对点协议)?帧格式在串⾏链路上封装IP数据报的⽅法。
P P P既⽀持数据为8位和⽆奇偶检验的异步模式,还⽀持⾯向⽐特的同步链接。
建⽴、配置及测试数据链路的链路控制协议(LCP-Link Control Protocol)。
它允许通信双⽅进⾏协商,以确定不同的选项。
针对不同⽹络层协议的⽹络控制协议(NCP-Network Control Protocol)体系。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
免费ARP是指主机发送ARP查找自己的IP地址。
通常,它发生在系统引导期间进行接口配置的时候。
在互联网中,如果我们引导主机bsdi并在主机sun上运行tcpdump命令,可以看到如下所示的分组。
0:0:c0:6f:2d:40 ff:ff:ff:ff:ff:ff arp 60:
arp who-has 140.252.13.35 tell 140.252.13.35
对于ARP请求中的各个字段来说,发送端的协议地址和目的端的协议地址是一致的:即主机bsdi的地址140.252.13.35。
另外,以太网报头中的源地址0:0:c0:6f:2d:40,正如tcpdump命令显示的那样,等于发送端的硬件地址
免费ARP可以有两个方面的作用:
1)一个主机可以通过它来确定另一个主机是否设置了相同的IP地址。
主机bsdi并不希望对此请求有一个回答。
但是,如果收到一个回答,那么就会在终端日志上产生一个错误消息“以太网地址:a:b:c:d:e:f发送来重复的IP地址”。
这样就可以警告系统管理员,某个系统有不正确设置。
2)如果发送免费ARP的主机正好改变了硬件地址(很可能是主机关机了,并换了一块接口卡,然后重新启动),那么这个分组就可以使其他主机高速缓存中旧的硬件地址进行相应的更新。
一个比较著名的ARP协议事实是,如果主机收到某个IP地址的ARP请求,而且它已经在接收者的高速缓存中,那么就要用ARP请求中的发送端硬件地址对高速缓存中相应的内容进行更新。
主机接收到任何ARP请求都要完成这个操作(ARP请求是在网上广播的,因此每次发送ARP请求时网络上的所有主机都要这样做)。
免费ARP的作用,目前,免费ARP的作用有两种。
第一种就是刚才上面所说的宣告广播的作用,以告诉整个广播域,目前这个IP所对应的MAC地址是什么。
第二种是看看广播域内有没有别的主机使用自己的IP,如果使用了,则在界面上弹出“IP冲突”字样。
普通ARP 请求报文广播发送出去,广播域内所有主机都接收到,计算机系统判断ARP请求报文中的目的IP地址字段,如果发现和本机的IP地址相同,则将自己的MAC地址填写到该报文的目的MAC地址字段,并将该报文发回给源主机。
所以只要发送ARP请求的主机接收到报文,则证明广播域内有别的主机使用和自己相同的IP地址(这里不考虑路由器的ARP代理问题)。
免费ARP的报文发出去是不希望收到回应的,只希望是起宣告作用;如果收到回应,则证明对方也使用自己目前使用的IP地址。
在所有网络设备(包括计算机网卡)up的时候,都会发送这样的免费ARP广播,以宣告并确认有没有冲突。
举例如下:
0000 ff ff ff ff ff ff 00 00 5e 00 01 ea 08 06 00 01
0010 08 00 06 04 00 01 00 00 5e 00 01 ea 86 4a ea 01
0020 00 00 5e 00 01 ea 86 4a ea 01 00 00 00 00 00 00
0030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
0040 00 00 00 00
报文中前48位是报文发送的目的MAC地址。
ff ff ff ff ff ff说明前48位都为1,表示这是一个局域网广播地址;
00 00 5e 00 01 ea是数据包发送的源MAC地址;
08 06表示为数据包类型为arp数据包;
00 01表示这是一个以太网数据包;
08 00表示为IP协议,6是硬件地址长度,4为协议地址长度;
00 01表示是ARP请求报文;
00 00 5e 00 01 ea发送者MAC地址;
86 4a ea 01(转换成十进制是134.74.234.1)是发送者的协议地址(由于协议是IP,所以这是IP地址);
86 4a ea 01是被请求的协议地址(可以看到请求的地址就是自身的IP地址);
00 00 5e 00 01 ea是被请求的MAC地址,正常情况下,如果不是免费ARP,这里应该为全0,在响应的时候,由目的主机来填写,但是在免费ARP的请求报文中,这里已经自动填写上自身的MAC地址。
免费ARP的漏洞及防范,根据上述第一种作用能发现免费ARP带来的漏洞,因为目前的局域网上都没有安全的认证系统,所以任何主机都可以发送这样的免费ARP广播,这样就会出现MAC地址欺骗。
假如某银行系统局域网内有服务器A,客户机B和客户机C,客户机B正在向服务器提交当天的信用卡消费和账号信息(通过某种安全通信机制进行通信,确保客户机C是无法接收到两者之间传输的数据包的),这时客户机C(攻击者)向局域网内发送了一个免费ARP广播,其源IP地址为服务器A的地址,源MAC地址为客户机C自己的MAC地址。
客户机B收到这样的报文后,会将自己ARP缓存中服务器A的MAC地址改为客户机C的MAC地址,这就形成了MAC地址欺骗,这样客户机B会将所有该发给服务器A的信息都发送给客户机C,C在通过抓包分析就知道了很多不该知道的信息。
通常为了确保A不再发送信息给B以改变B的ARP缓存里A的IP对应的MAC地址,C可以通过其他手段先将A工具瘫痪。
这样就放心大胆地进行欺骗了。
这是至今都很流行的攻击手段之一。
目前针对该攻击没都有很好的防范手段,当前使用的方法有:
1. 设置MAC地址和IP地址绑定。
2. 将交换机上某些端口设置为信任端口,来自这些端口的请求认为是可靠的,予以转发,其他的不转发。
其实我们很多设备的漏洞都是这样产生的,为了解决一个问题,引入一项新的机制,但是通常由于缺乏全面的系统分析机制,没能对该项技术进行全方位的论。