ARP协议简介
what:
ARP,全称Address Resolution Protocol,地址解析协议。是根据IP地址获得对应物理MAC地址的一种TCP/IP协议。
where:
机器发送数据时,会先从自己的ARP缓存中,获得目标IP对于的物理MAC地址。如果没有或过期,那么就是向自己所在局域网的机器,广播发送目标IP的ARP请求,并接受返回的信息。在信息返回后,更新自己的ARP缓存,供下次使用。
缺陷:
缺陷来源:ARP是建立在网络中,各主机相互信任的基础上的。局域网中的各主机可以自主发送ARP应答报文。如果网络中有恶意的主机,发送的ARP应答主机地址是有恶意目的的,那么就会产生ARP欺骗。
ARP欺骗的状态:上网时断时续、无法ping通网关、运行arp -d 或者重启机器以后可以短暂恢复上网。
如何快速定位问题主机:
一. 在能上网的机器上,开始-->运行-->cmd,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。
二.在不能上网的机器利用arp -a命令将得到的结果与正确的网关MAC地址进行对比,如果不符,则该MAC地址基本上就是问题主机的实际MAC(当然也存在利用假MAC地址进行ARP欺骗的可能)
三.利用局域网扫描工具对该网段进行扫描,并且得到与该MAC地址相符的IP(如果ARP欺骗是针对全网欺骗可能扫到的所有IP的MAC都是病毒主机的,这个需要根据实际情况自行判断)
解决arp攻击的方法:在接入层使用可管理交换机对每台机器的IP与MAC地址进行绑定。(如果网络规模小可以使用硬件防火墙或者宽带路由器进行IP、MAC绑定)