关于ARP协议
什么是arp协议:
arp协议是地址解析协议,英文是address resolution protocol
通过IP地址可以获得mac地址
两个主机的通信归根到底是MAC地址之间的通信
在TCP/IP的网络环境下,每个联网的主机都会被分配一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址
,为了让报文能够在物理网络上传输,还必须要知道对方主机的物理地址(MAC地址),这样就存在把IP地址转换成物理地址的问题。
我们以以太网为例,为了正确的向目的主机发送报文,必须把目的主机的32位IP地址转换成48位的以太网地址(MAC地址),这就需要在互联层有各个服务或功能将IP地址转换成响应的物理地址,这个服务或者功能就是ARP协议。
所谓的“地址解析”,就是主机在发送帧之前将目的IP地址转换成目的主机的mac地址的过程,
ARP协议的基本功能就是通过目标设备的IP地址,查询目标主机的MAC地址,以保证主机间互相通信的顺利进行
ARP协议和DNS有点相像之处,不同点是DNS在域名和ip地址之间解析,而ARP是在IP地址和MAC地址之间解析,当然,他们都支持反向解析
ARP代理(ARP proxy)的工作原理:
ARP协议要求通信的主机必须在同一个物理网段内(局域网环境),如果不在同一个局域网内的话就需要ARP代理了
当发送主机和目的主机不在同一个局域网中时,即便知道目的主机的mac地址,两者也不能通信,必须通过路由或ARP中继等技术转发才可以,此时发送主机通过ARP协议获得的将不是目的主机的MAC地址,而是一台可以通往局域网外的路由器的某个端口的MAC地址,于是伺候发送主机发往目的主机的所有帧都将发往该路由器或者该ARP中继,通过它向外发送,这种情况称为ARP代理
ARP通信过程:
以ARP广播的形式发出
以单播的形式回复
每台主机都有ARP缓存表,(windows:arp –a、清除arp缓存:arp –d (如果要清除指定的arp的话需要指定IP地址))
小结:主机之间的通信最终是基于MAC地址的
ip和Mac之间的解析式由ARP协议完成的
ARP协议应用于LAV局域网内
arp协议是通过广播的方式工作的
主机通讯后会缓存arp解析结果
arp表的好处:加快主机通讯的速度,减少arp广播风暴
arp缓存表是把双刃剑:
1、arp缓存表可以加快arp解析的速度
2、ARP欺骗(网关的IP地址是对的,但是Mac地址不对)(网关欺骗)
ARP协议的工作原理过程:A为发送主机,B为目标主机
1、A要给B发送文件,A会查找自己的ARP缓存表,如果有B的缓存的话,直接发送给B,如果没有的话A会向局域网中广播ARP请求
2、只有B才会回应A的广播请求,并且以单播的形式回复
3、A收到B的回复之后,将B的MAC地址封装到帧里面,并且将B的信息保存在自己的ARP缓存中,当然B也会保存A的MAC地址信息(因为A在广播中把自己的MAC地址广播出去了)。
注意:ARP缓存表采用了老化机制(即设置了生存时间TTL),在一段时间内(windows一般是15分钟到20分钟,linux的非常小),如果表中的某一条记录没有使用,就会被删除,这样大大减小了ARP缓存表的长度,加快查询速度,同时也增加了ARP欺骗的风险
ARP欺骗的原理:
ARP欺骗原理:
通过伪造IP地址和MAC地址对实现ARP欺骗的。如果一台主机中了ARP病毒,那么这台主机会在网络中产生大量的ARP通信量(以很快的频率进行广播),以至于网络阻塞,攻击者只要持续不断的发出伪造的ARP响应报就能够更改目标主机ARP缓存中的ARP记录,造成网络中断或中间人攻击
ARP攻击主要存在于局域网中,局域网中若有一台主机感染ARP病毒,则感染该ARP病毒的主机会试图通过ARP欺骗手段截获所在网络内其他主机的通信信息,并因此造成局域网内其他主机的通信故障。
ARP在生产环境中产生的问题:
1、ARP欺骗和ARP攻击
2、高可用服务器切换时要考虑ARP缓存问题
3、路由器等设备无缝迁移时要考虑ARP缓存问题
为什么要使用ARP协议:
OSI模型把网络分为7层,彼此之间不直接打交道,而是通过接口(layer interface)互相通信,IP地址工作在第三层(网络层),而MAC地址工作在第二层(链路层),当协议在发送数据包时,需要封装第三层、第二层的报头,但是协议只知道目的节点的IP地址,不知道目的节点的MAC地址,又不能跨越第二层、第三层,因此得用ARP服务
7层模型:从上到下: 应用层----表示层---会话层---传输层---网络层---数据链路层---物理层 数据包 帧 bit |
一般人认为ARP在网络层,TCP/IP在传输层,
RARP:
反向ARP协议,ARP是通过IP地址找MAC地址,而RARP是通过MAC地址找IP地址
反向地址解析协议用于一种特殊情况,站点被初始化后,只有MAC地址而没有IP地址,则它可以通过RARP协议发出广播请求,征求自己的IP地址,而RARP服务器负责响应请求,RARP广泛用于获取无盘工作站的IP地址,和DHCP的工作原理相同
ARP欺骗防御和解决措施:
方法一、
写个bat程序临时阻止ARP攻击,电脑重启后失效,需重新执行或放在开机自启动里,
@echooff
%WINDIR%\system32\arp.exe–d
%WINDIR%\system32\arp.exe–s 10.10.10.10 00:0C:29:B2:A5:8C
方法二、
在电脑上安装360
方法三、
linux:
iptables -m 00:0C:29:B2:A5:8C 10.10.10.10
把IP地址与MAC地址的对应关系加入到/etc/ethers中,然后执行arp –f命令
上网防火墙迁移到B,要用arping进行arp广播,否则的话内网主机无法上网
[root@nginx scripts]# arping --help arping: invalid option -- '-' Usage: arping [-fqbDUAV] [-c count] [-w timeout] [-I device] [-s source] destination -f : quit on first reply -q : be quiet -b : keep broadcasting, don't go unicast -D : duplicate address detection mode -U : Unsolicited ARP mode, update your neighbours -A : ARP answer mode, update your neighbours -V : print version and exit -c count : how many packets to send -w timeout : how long to wait for a reply -I device : which ethernet device to use (eth0) -s source : source ip address destination : ask for what ip address |
ARP广播而进行新的地址解析。
具体命令:
/sbin/arping -I eth0 -c 3 -s 10.0.0.162 10.0.0.253
/sbin/arping -U -I eth0 10.0.0.162
以上两个命令均可。命令参数的含义这里省略了。