关闭

关于ARP的

567人阅读 评论(0) 收藏 举报
关于ARP

ARP (地址解析协议)用来动态地将第三层网络地址转换成数据链路地址。当一
个系统与在同一网络中的另外一个系统通信时,它会首先向广播地址(FF:FF:FF:
FF:FF:FF)发送一个ARP报文.这个报文问了一个简单的问题:"谁使用网络地址A
?...请告诉网络地址B".既然同一网络中的所有主机均收到了这些广播报文,系
统A收到了这个ARP报文后将发送一个回应报文。源主机使用这个回复报文来建立
一个表(缓存),将32位的IP地址映射到第二层硬件(MAC)地址。另一个表由网络
层管理。这个表由数据链路层提供的信息建立,并包含针对活动连接的网络路由
信息。网络层从数据链路层获取MAC地址,然后将这些地址插入一个网络路由表。
网络路由表项在20分钟后过期。
当一个网络主机准备与另外一个主机通信时,IP层首先检查ARP缓存。如果缓存
中没有对方的表项,主机将广播一个ARP请求报文。ARP缓存表项在5分钟后过期。
ARP缓存易受到两种类型的攻击:ARP缓存"中毒"和ARP欺骗。ARP缓存"中毒"包括
将一个不存在的或是错误的ARP地址插入到系统ARP缓存中。这导致一个拒绝服务
攻击,因为尽管目标系统会把报文发送给对方的IP地址,但是通信对方的MAC地址
却是错误的。
ARP欺骗可以导致系统入侵。象IP欺骗一样,ARP欺骗首先要求禁止网络中的某台
主机,以便它不会回复任何地ARP广播请求。一旦这一步完成,攻击者就可以在发
起攻击的主机上设置被禁主机的IP地址。当受害主机试图与被禁止的主机通信时,
攻击者的主机将回复一个ARP请求,将它自己的MAC地址插入受害主机的ARP缓存中。
在两个主机之间的通信就可以正常进行了。
防御ARP攻击是很困难的。一种对付ARP攻击的方法是减少缓存表项的生存时间。
缓存生存时间由内核参数arp_cleanup_interval决定。IP路由表项的生存时间
由内核参数ip_ire_flush_interval控制。
    # ndd -set /dev/arp arp_cleanup_interval
    # ndd -set /dev/ip ip_ire_flush_interval
这里是以毫秒为单位的。减小ARP缓存和IP路由表的超时时间将会拖延攻
击者,但并不能阻止他们。
另外一个办法是可以为某些系统创建静态ARP地址。静态ARP缓存是永久的因此不会
过期。这些表项可以通过命令"arp -d"来删除。第三个办法是在网络接口上禁止ARP
处理并增加静态ARP表项。
0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:7946次
    • 积分:160
    • 等级:
    • 排名:千里之外
    • 原创:8篇
    • 转载:2篇
    • 译文:0篇
    • 评论:1条
    文章分类
    文章存档
    最新评论
  • CISCO

    xgdcisco: 西北工业大学思科学院http://www.ciscoedu.net