ARP解析MAC地址的全过程(ARP的工作机制)
版权声明:原创作品,谢绝转载!否则将追究法律责任。 ————— 作者:kirin
ARP解析MAC地址需要了解的:
以太网环境下,同一个网段的主机之间需要互相知道对方的MAC地址,才能访问。
从上层到下层的封装过程中,第三层封装需要知道目的IP,第二层封装需要知道目的MAC。
目的IP一般由用户手工输入,或者由应用程序填充,也可以通过名称解析系统解析得到,而目的MAC就需要使用ARP来解析。
ARP解析MAC地址的过程:
第一步:
上层应用产生数据,这里用FTP协议为例,在FTP协议中定位了目的IP。
第二步:
那么,封装的过程如下:
- 应用层:需要FTP的控制信息,包括用户名、密码等;
- 传输层:目的端口号为21,源为随机端口号;
- 网络层:目的IP为172.16.1.200,源IP为172.16.1.1;
- 数据链路层:因为不知道目的IP 172.16.1.200对应的MAC,所以目的IP到目的MAC的封装映射失败;
三层到二层的封装失败,由于二层是以太网,ARP的工作机制便会产生ARP Request去解析目的MAC,此时,源MAC为数据发起者的MAC,目的MAC地址为FFFF:FFFF:FFFF(代表所有MAC)
第三步:
ARP Request到达本网段中的所有设备上,因为目的为FFFF:FFFF:FFFF,所以所有设备都可以拆掉二层的封装,然后解读ARP数据包中需要解析的目的IP。
第四步:
目的IP不正确的设备直接忽略这个ARP请求包,目的IP正确的设备,会产生一个ARP Reply去回应这个ARP Request。
此时,二层的源MAC为被解析设备的MAC,目的为ARP解析发起者的MAC。
第五步:
数据的发起者接到ARP Reply后,将目的IP与目的MAC的对应关系添加到自己的ARP表中。
第六步:
之前未完成二层封装的FTP数据,这时重新开始封装二层头部,此时,正确的目的MAC就被封装到了整个数据帧中。
只有完成了整个TCP/IP协议栈封装的数据帧,才能正常的从主机上发出去。
这就是ARP解析MAC地址的整个过程。
什么是ARP欺骗?
ARP欺骗是一种恶意行为者通过局域网发送伪造的ARP(地址解析协议)消息的攻击类型。这会导致将攻击者的MAC地址与网络上的合法计算机或服务器的IP地址链接起来。一旦攻击者的MAC地址连接到可信的IP地址,攻击者将开始接收任何用于该IP地址的数据。ARP欺骗可以使恶意方拦截,修改甚至停止正在传输的数据。ARP欺骗攻击只能发生在使用地址解析协议的局域网上。
ARP欺骗检测,预防和保护
以下方法是检测,防止和防范ARP欺骗攻击的推荐措施:
-
数据包过滤:数据包过滤器在数据包通过网络传输时检查数据包。数据包筛选器在防止ARP欺骗方面很有用,因为它们能够过滤和阻止源地址信息冲突的数据包(来自网络外部的显示网络内部源地址的数据包,反之亦然)。
-
避免信任关系:组织应尽可能少地开发依赖信任关系的协议。信任关系仅依靠IP地址进行身份验证,这使攻击者在进行ARP欺骗攻击时能够更轻松地进行。
-
使用ARP欺骗检测软件:有许多程序可以帮助组织检测ARP欺骗攻击。这些程序通过在数据传输之前检查和验证数据并阻止似乎被欺骗的数据来工作。
-
-
本文来自博客园,作者:kirin(麒麟),转载请注明原文链接:https://www.cnblogs.com/kirin365/articles/16137214.html
