0_ARP协议简介---------------------非常经典的ARP协议介绍
arp地址解析协议
ARP地址解析协议简介ARP(Address Resolution Protocol)是一种用于解析本地IP地址和MAC地址之间对应关系的协议。
在TCP/IP网络中,当一个主机需要与另一个主机通信时,通常需要知道目标主机的MAC地址。
而ARP协议就是用来获取目标主机的MAC地址的。
ARP工作原理1.当源主机要发送数据包给目标主机时,首先检查自己的ARP缓存表中是否有目标主机的IP地址对应的MAC地址。
如果有,则直接使用该MAC地址进行通信。
2.如果ARP缓存表中没有目标主机的信息,则源主机会发送一个ARP请求广播包到局域网内的所有主机。
该ARP请求包包含源主机的IP地址以及MAC地址。
3.接收到ARP请求广播包的主机会检查自己的IP地址是否与ARP请求包中的目标IP地址相匹配。
如果匹配,则该主机会向源主机发送一个ARP 响应包,包含自己的IP地址和MAC地址。
4.源主机收到ARP响应包后,会将目标主机的IP地址和MAC地址添加到ARP缓存表中,并使用该MAC地址进行通信。
ARP缓存表ARP缓存表是每个主机上存储IP地址与MAC地址对应关系的表格。
它用于加快ARP解析的速度,避免频繁地发送ARP请求包。
当一个主机收到ARP响应包时,会将目标主机的IP地址和MAC地址添加到ARP缓存表中。
在后续的通信过程中,主机会直接使用ARP缓存表中的MAC地址进行通信。
ARP缓存表通常具有以下信息:- IP地址:目标主机的IP地址。
- MAC地址:目标主机的MAC地址。
- 接口:用于与目标主机通信的网络接口。
ARP欺骗ARP欺骗(ARP Spoofing)是一种恶意攻击技术,黑客通过伪造ARP响应包来篡改ARP缓存表中的对应关系。
一旦攻击成功,黑客就可以拦截、修改或重定向通信流量,从而实施中间人攻击。
为了防止ARP欺骗攻击,可以采取以下措施: - 使用静态ARP表:将重要主机的IP地址和MAC地址手动添加到ARP缓存表中,这样可以防止被攻击者伪造。
ARP协议解释
前言:ARP协议的作用:1. 什么是ARP?ARP (Address Resolution Protocol) 是个地址解析协议。
最直白的说法是:在IP以太网中,当一个上层协议要发包时,有了该节点的IP地址,ARP就能提供该节点的MAC地址。
2为什么要有ARP?OSI 模式把网络工作分为七层,彼此不直接打交道,只通过接口(layre interface). IP地址在第三层, MAC地址在第二层。
协议在发生数据包时,首先要封装第三层(IP地址)和第二层(MAC地址)的报头, 但协议只知道目的节点的IP地址,不知道其物理地址,又不能跨第二、三层,所以得用ARP的服务。
详细说明:Ø在网络通讯时,源主机的应用程序知道目的主机的IP地址和端口号,却不知道目的主机的硬件地址,而数据包首先是被网卡接收到再去处理上层协议的,如果接收到的数据包的硬件地址与本机不符,则直接丢弃。
因此在通讯前必须获得目的主机的硬件地址。
ARP协议就起到这个作用Ø当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时,是根据48位的以太网地址来确定目的接口的,设备驱动程序从不检查IP数据报中的目的IP地址。
ARP(地址解析)模块的功能为这两种不同的地址形式提供映射:32位的IP地址和48位的以太网地址一.ARP报文各字段含义:ARP报文字段总共有28个字节1.硬件类型:占2个字节,表明ARP实现在何种类型的网络上。
Ø值为1:表示以太网。
2.协议类型:占2个字节表示要映射的协议地址类型。
ØIP:08003.硬件地址长度:占1个字节,表示MAC地址长度,其值为6个字节。
4.协议地址长度:占1个字节,表示IP地址长度,此处值4个字节5.操作类型:占2个字节,表示ARP数据包类型。
Ø值为1表示ARP请求。
Ø值2表示ARP应答。
6.源MAC地址:占6个字节,表示发送端MAC地址7.源IP地址:占4个字节,表示发送端IP地址8.目的以太网地址:占6个字节,表示目标设备的MAC物理地址9.目的IP地址:占4个字节,表示目标设备的IP地址.注意:在ARP操作中,有效数据的长度为28个字节,不足以太网的最小长度46字节长度,需要填充字节,填充字节最小长度为18个字节二.ARP请求分组或应答分组以太网首部总共有14字节数据,arp请求报文总共有28字节。
ARP协议详解
ARP协议详述1.ARP协议概述IP数据包常通过以太网发送。
以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。
因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。
在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。
地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。
ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。
目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。
发送者将这个地址对高速缓存起来,以节约不必要的ARP通信。
如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。
这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。
ARP机制常常是自动起作用的。
在特别安全的网络上,ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。
图1 以太网上的ARP报文格式图1是一个用作IP到以太网地址转换的ARP报文的例子。
在图中每一行为32位,也就是4个八位组表示,在以后的图中,我们也将遵循这一方式。
硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1。
协议类型字段指明了发送方提供的高层协议类型,IP为0806(16进制)。
硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。
操作字段用来表示这个报文的目的,ARP请求为1,ARP响应为2,RARP请求为3,RARP 响应为4。
当发出ARP请求时,发送方填好发送方首部和发送方IP地址,还要填写目标IP地址。
当目标机器收到这个ARP广播包时,就会在响应报文中填上自己的48位主机地址。
2 ARP使用举例我们先看一下linux下的arp命令(如果开始arp表中的内容为空的话,需要先对某台主机进行一个连接,例如ping一下目标主机来产生一个arp项):d2server:/home/kerberos# arpAddress HWtype HWaddress Flags Mask Iface211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0Address:主机的IP地址Hwtype:主机的硬件类型Hwaddress:主机的硬件地址Flags Mask:记录标志,"C"表示arp高速缓存中的条目,"M"表示静态的arp条目。
《ARP协议简介》课件
什么是ARP欺骗攻击?
一种网络攻击手段,攻击者伪造自己的MAC地 址,欺骗其他设备认为其是目标设备
如何防范ARP欺骗?
• 使用静态ARP表 • ARP协议的绑定功能 • 使用交换机的端口安全功能 • 限制ARP广播域
ARP与RARP的区别
ARP协议
解析IP地址,获取MAC地址
RARP协议
解ห้องสมุดไป่ตู้MAC地址,获取IP地址
3
优缺点
优点:简单、广泛应用;缺点:容易 遭到攻击,效率较低
ARP缓存表
什么是ARP缓存表?
储存最近查询到的MAC地 址,加快下次查询速度
如何查询ARP缓存表?
使用命令“arp -a”可以查看 所有的ARP缓存表内容
如何清空ARP缓存表?
使用命令“arp -d”可清空 ARP缓存表中所有内容
ARP欺骗攻击及防范
ARP协议的未来
虽然ARP协议在现代网络中仍得到广泛使用,但随着技术的发展和网络的升级,人们也在寻求更加安全、 高效、智能的协议来替代它。
总结
本次分享带您了解了ARP协议的概念、工作原理、缓存表、防范措施以及应用场景。虽然容易被攻击, 但ARP协议在IP通信中仍具有重要地位。
ARP协议简介
ARP协议(Address Resolution Protocol)是将IP地址映射成MAC地址的一种协 议。它是计算机网络中重要的协议之一。
ARP协议概述
1
功能说明
ARP协议解析IP地址,查询对应的MAC
工作流程
2
地址,保障IP通信
通过以太网广播询问目标设备的MAC
地址,获取其回应
ARP协议的应用
1 局域网中,主机之间的通信
ARP协议概说
ARP协议概说1 ARP协议概述ARP协议和ICMP协议是常用的TCP/IP底层协议。
在对网络故障进行诊断的时候,它们也是最常用的协议。
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP 协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
2 ARP工作原理2.1 ARP工作过程当一个基于TCP/IP的应用程序需要从一台主机发送数据给另一台主机时,它把信息分割并封装成包,附上目的主机的IP地址。
然后,寻找IP地址到实际MAC地址的映射,这需要发送ARP广播消息。
当ARP找到了目的主机MAC地址后,就可以形成待发送帧的完整以太网帧头。
最后,协议栈将IP包封装到以太网帧中进行传送。
如图1所示,描述了ARP广播过程。
图1 ARP广播在图1中,当主机A要和主机B通信(如主机A Ping主机B)时。
主机A 会先检查其ARP缓存内是否有主机B的MAC地址。
如果没有,主机A会发送一个ARP请求广播包,此包内包含着其欲与之通信的主机的IP地址,也就是主机B 的IP地址。
当主机B收到此广播后,会将自己的MAC地址利用ARP响应包传给主机A,并更新自己的ARP缓存,也就是同时将主机A的IP地址/MAC地址对保存起来,以供后面使用。
主机A在得到主机B的MAC地址后,就可以与主机B 通信了。
同时,主机A也将主机B的IP地址/MAC地址对保存在自己的ARP缓存内。
2.2 ARP报文格式ARP报文被封装在以太网帧头部中传输,如图2所示,是ARP请求协议报文头部格式。
图2 ARP请求协议报文头部格式图2中黄色的部分是以太网(这里是Ethernet II类型)的帧头部。
其中,第一个字段是广播类型的MAC地址:0XFF-FF-FF-FF-FF-FF,其目标是网络上的所有主机。
第二个字段是源MAC地址,即请求地址解析的主机MAC地址。
第三个字段是协议类型,这里用0X0806代表封装的上层协议是ARP协议。
ARP详解
1.ARP作用ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
在局域网中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。
但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射。
APR就是实现这个功能的协议。
2.ARP报文结构ARP报文分为ARP请求和ARP应答报文,报文格式如图1-1所示。
图 1 ARP报文结构●硬件类型:表示硬件地址的类型。
它的值为1表示以太网地址;●协议类型:表示要映射的协议地址类型。
它的值为0x0800即表示IP地址;●硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。
对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4;●操作类型(OP):1表示ARP请求,2表示ARP应答;●发送端MAC地址:发送方设备的硬件地址;●发送端IP地址:发送方设备的IP地址;●目标MAC地址:接收方设备的硬件地址。
●目标IP地址:接收方设备的IP地址。
3.ARP地址解析过程假设主机A和B在同一个网段,主机A要向主机B发送信息。
如图1-2所示,具体的地址解析过程如下:(1)主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项。
如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。
(2)如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。
ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。
由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。
ARP协议解释
我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。
其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
作为网吧路由器的厂家,对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做,称其为IP-MAC双向绑定。
三、如何查看ARP缓存表
ARP缓存表是可以查看的,也可以添加和修改。在命令提示符下,输入“arp -a”就可以查看ARP缓存表中的内容了,如附图所示。
用“arp -d”命令可以删除ARP表中某一行的内容;用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。
计算机网络地址解析(ARP)协议
计算机网络地址解析(ARP)协议计算机网络地址解析(ARP)协议地址解析协议(ARP)是一种能够实现IP地址到物理地址转化的协议。
在以太网中,通过物理地址来识别网络上的各个主机,IP地址只是以符号地址的形式对目的主机进行编址。
通过ARP协议将网络传输的数据报目的IP地址进行解析,将其转化为目的主机的物理地址,数据报才能够被目的主机正确接收。
实现IP地址到物理地址的映射在网络数据传输中是非常重要的,任何一次从互联网层及互联网层以上层发起的数据传输都使用IP地址,一旦使用IP地址,必须涉及IP地址到物理地址的映射,否则网络将不能识别地址信息,无法进行数据传输。
IP地址到物理地址的映射包括表格方式和非表格方式两种。
其中,表格方式是事先在各主机中建立一张IP地址、物理地址映射表。
这种方式很简单,但是映射表需要人工建立及人工维护,由于人工建立维护比较麻烦,并且速度较慢,因此该方式不适应大规模和长距离网络或映射关系变化频繁的网络。
而非表格方式采用全自动技术,地址映射完全由设备自动完成。
根据物理地址类型的不同,非表格方式有分为直接映射和动态联编两种方式。
1.直接映射物理地址分为固定物理地址和可自由配置的物理地址两类,对于可自由配置的物理地址,经过配置后,可以将其编入IP地址码中,这样物理地址的解析就变的非常简单,即将它从IP地址的主机号部分取出来便是,这种方式就是直接映射。
直接映射方式比较简单,但适用范围有限,当IP地址中主机号部分不能容纳物理地址时,这种方式将失去作用。
另外,以太网的物理地址都是固定的,一旦网络接口更改,物理地址也随之改变,采用直接映射将会出现问题。
2.动态联编由于以太网具有广播能力和物理地址是固定的特点,通常使用动态联编方式来进行IP 地址到物理地址的解析。
动态联编ARP方式的原理是,在广播型网络中,一台计算机A欲解析另一台计算机B的IP地址,计算机A首先广播一个ARP请求报文,请求计算机B回答其物理地址。
ARP协议简介(何敏2009年5月技术文档一)
ARP,即地址解析协议,为IP地址到对应的硬件地址之间提供动态映射。
当一台主机把以太网数据帧发送到局域网中的另一台主机时,是根据48bit的硬件地址(即MAC地址)来确定目的接口的,设备驱动程序并不检查IP数据报中的目的IP地址。
一、ARP分组的格式:如上图示,以太网前两个字段是以太网的目的地址和源地址,目的地址为全1的为广播地址。
两个字节的帧类型表示后面数据的类型,对于ARP报文,其值为0x0806。
硬件类型字段表示硬件地址的类型,值为1表示以太网。
协议类型表示要映射的协议地址类型,其值为0x0800表示IP地址。
硬件地址长度和协议地址长度是以字节为单位的,对于以太网上IP地址的ARP报文来说,值分别为6和4。
接下来的操作字段指出四种操作类型,分别是ARP请求(值为1)、ARP应答(值为2)、RARP请求(值为3)、RARP应答(值为4)。
最后四个字段分别是发送端和目的以太网地址和IP地址。
二、ARP举例:1、当主机要与局域网上另一主机建立连接时,它需要首先知道目的主机的MAC地址,于是它会发一个ARP广播,局域网上的每个主机都能收到。
ARP请求的数据帧中包含目的主机的IP地址,其意思是“如果你是这个IP地址的拥有者,请回答你的硬件地址”。
2、目的主机收到这个ARP广播后,识别出这是发送端在询问它的MAC地址,于是发送ARP应答,告诉源主机自己的MAC地址。
3、当源主机收到ARP应答后,就可以发送IP数据报到目的主机了。
如果目的主机是远程网络,那么源主机首先需要知道默认网关的MAC地址,把IP数据报传给网关,由网关完成转发。
下面是使用抓包软件抓到的ARP请求和回应报文:ARP请求报文:ARP应答报文:三、ARP代理:如果ARP请求是从一个网络的主机发给另一个网络的主机,那么连接这两个网络的路由器就可以回答该请求,这个过程称为ARP代理(proxy ARP)。
这样可以欺骗源主机,使它误认为路由器就是目的主机,而实际上目的主机在路由器的另一边。
ARP
ARP缓存表采用了老化机制,在一段时间内如果表中 的某一行没有使用(windows系统这个时间为2分钟,而 Cisco路由器的这个时间为5分钟),就会被删除,
ARP协议:ARP是地址转换协议(Address Resolution Protocol)
•
二层的以太网交换设备并不能识别32位的IP地址,它们是 以48位以太网地址(就是我们常说的MAC地址)传输以太 网数据包的。也就是说IP数据包在局域网内部传输时并不 是靠IP地址而是靠MAC地址来识别目标的 。
什么是ARP协议
ARP是地址转换协议(Address Resolution Protocol) 的英文缩写,它是一个链路层协议,工作在OSI模型的第 二层,在本层和硬件接口间进行联系,同时对上层(网络 层)提供服务。 IP数据包在局域网内部传输时并不是靠IP地址而是靠 MAC地址来识别目标的,因此IP地址与MAC地址之间就 必须存在一种对应关系,而ARP协议就是用来确定这种对 应关系的协议。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ARP简介我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。
那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来完成的。
ARP协议对网络安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
所以网管们应深入理解ARP协议。
一、什么是ARP协议ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
编辑本段二、ARP协议的工作原理在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如附表所示。
附表:我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。
当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。
如果找到了,也就知道了目标MAC 地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。
这样,主机A就知道了主机B的MAC 地址,它就可以向主机B发送信息了。
同时它还更新了自己的ARP缓存表,下次再向主机B 发送信息时,直接从ARP缓存表里查找就可以了。
ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP 通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP 缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP 木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
二、RARP的工作原理:1. 发送主机发送一个本地的RARP广播,在此广播包中,声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址;2. 本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC地址对应的IP地址;3. 如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用;4. 如果不存在,RARP服务器对此不做任何的响应;5. 源主机收到从RARP服务器的响应信息,就利用得到的IP地址进行通讯;如果一直没有收到RARP服务器的响应信息,表示初始化失败。
三、ARP和RARP报头结构ARP和RARP使用相同的报头结构,如图所示。
报送格式硬件类型字段:指明了发送方想知道的硬件接口类型,以太网的值为1;协议类型字段:指明了发送方提供的高层协议类型,IP为0800(16进制);硬件地址长度和协议长度:指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用;操作字段:用来表示这个报文的类型,ARP请求为1,ARP响应为2,RARP请求为3,RARP 响应为4;发送方的硬件地址(0-2字节):源主机硬件地址的前3个字节;发送方的硬件地址(3-5字节):源主机硬件地址的后3个字节;发送方IP(0-1字节):源主机硬件地址的前2个字节;发送方IP(2-3字节):源主机硬件地址的后2个字节;目的硬件地址(0-1字节):目的主机硬件地址的前2个字节;目的硬件地址(2-5字节):目的主机硬件地址的后4个字节;目的IP(0-3字节):目的主机的IP地址。
四、如何查看ARP缓存表ARP缓存表是可以查看的,也可以添加和修改。
在命令提示符下,输入“arp -a”就可以查看ARP缓存表中的内容了,如附图所示。
用“arp -d”命令可以删除ARP表中所有的内容;用“arp -d +空格+ <指定ip地址>”可以删除指定ip所在行的内容用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应,类型为static(静态),此项存在硬盘中,而不是缓存表,计算机重新启动后仍然存在,且遵循静态优于动态的原则,所以这个设置不对,可能导致无法上网.五、ARP欺骗其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。
ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。
它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是——伪造网关。
它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。
在PC看来,就是上不了网了,“网络掉线了”。
一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。
有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。
而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。
为此,宽带路由器背了不少“黑锅”。
作为网吧路由器的厂家,对防范ARP欺骗不得已做了不少份内、份外的工作。
一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。
二、力劝网管员在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定。
一般厂家要求两个工作都要做,称其为IP-MAC双向绑定。
显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。
该命令只有在安装了 TCP/IP 协议之后才可用。
arp -a [inet_addr] [-N [if_addr]arp -d inet_addr [if_addr]arp -s inet_addr ether_addr [if_addr]参数-a通过询问 TCP/IP 显示当前 ARP 项。
如果指定了 inet_addr,则只显示指定计算机的IP 和物理地址。
-g与 -a 相同。
inet_addr以加点的十进制标记指定 IP 地址。
-N显示由 if_addr 指定的网络界面 ARP 项。
if_addr指定需要修改其地址转换表接口的 IP 地址(如果有的话)。
如果不存在,将使用第一个可适用的接口。
-d删除由 inet_addr 指定的项。
-s在 ARP 缓存中添加项,将 IP 地址 inet_addr 和物理地址 ether_addr 关联。
物理地址由以连字符分隔的 6 个十六进制字节给定。
使用带点的十进制标记指定 IP 地址。
项是永久性的,即在超时到期后项自动从缓存删除。
ether_addr指定物理地址。
六、遭受ARP攻击后现象ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。
比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。
如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。
该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。
如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
七、常用的维护方法搜索网上,目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。
呵呵,我们来了解下这三种方法。
3.1 静态绑定最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
方法:对每台主机进行IP和MAC地址静态绑定。
通过命令,arp -s可以实现“arp –s IP MAC地址”。
例如:“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示:Internet Address Physical Address Type192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)一般不绑定,在动态的情况下:Internet Address Physical Address Type192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)说明:对于网络中有很多主机,500台,1000台...,如果我们这样每一台都去做静态绑定,工作量是非常大的。
,这种静态绑定,在电脑每次重起后,都必须重新在绑定,虽然也可以做一个批处理文件,但是还是比较麻烦的!3.2 使用ARP防护软件目前关于ARP类的防护软件出的比较多了,大家使用比较常用的ARP工具主要是欣向ARP工具,Antiarp等。
它们除了本身来检测出ARP攻击外,防护的工作原理是一定频率向网络广播正确的ARP信息。
我们还是来简单说下这两个小工具。
3.2.1 欣向ARP工具它有5个功能:A. IP/MAC清单选择网卡。
如果是单网卡不需要设置。
如果是多网卡需要设置连接内网的那块网卡。