ARP协议简介、ARP风险及缓解办法

已于 2023-04-10 14:12:32 修改
阅读量2.2k 收藏 8
点赞数 3
文章标签: 网络 tcp/ip 网络安全 网络协议 wireshark
于 2022-05-18 00:00:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Robert_30/article/details/124829343
版权

ARP协议简介、ARP风险及缓解办法

ARP协议的详细讲解,可以参考视频《电子科技大学TCPIP协议原理》.(杨宁).[42讲],第22个视频的10分30秒处。视频质量可以参考这篇博客[点评] [电子科技大学][TCP/IP协议原理][杨宁]
杨宁TCP/IP协议原理
或者可以参考这篇文章Info-Finder | IP知识百科 | 什么是ARP?,这篇文章讲解了ARP协议的各种类型、老化机制以及ARP报文格式。本文从“为什么需要ARP协议”这个问题开始,简述ARP协议并站在网络安全的角度阐述ARP协议的风险和应对策略。

IP地址和MAC地址简介

讲解ARP协议之前,先讲解网络中的两种地址标识。

  终端在网络中的标识有两种地址,一种是逻辑地址(IP地址),另一种是物理地址(MAC地址)。其中IP地址属于第三层(网络层),在跨局域网的路由选择中起作用,具有全局性。MAC地址属于第二层(数据链路层),MAC地址的作用范围是局域网,具有本地性。早期以太网只有交换机,没有路由器,以太网内通过MAC地址通信。后来有了互联网(Internet),采用了IP+MAC地址的通信方式。
逻辑地址:电子科技大学(清水河校区)
物理地址:四川省成都市高新西区西源大道2006号

有关MAC地址的介绍可以参考之前写的博客https://blog.csdn.net/Robert_30/article/details/124409549
MAC地址简介

局域网中目的MAC地址的作用

为什么需要ARP协议?通信的前提是确定通信的对象——源和宿,在两个不同的局域网中,可以通过目标的IP地址到达目标所在的局域网(路由–网络层的作用),但是局域网的路由器如何获知局域网内的某个IP地址是否存在?或者说它的MAC地址是多少呢?

  在一个局域网中,某台主机(A)知道自己的IP地址(IP A)、自己的MAC地址(MAC A)、希望通信的目的主机的IP地址(IP B)——IP A +MAC A +IP B,如何将数据包从A发到B?答案是,A的数据包分组需要封装在数据帧中传送,数据帧的常见格式如下图所示,根据分析,数据帧缺少目的MAC地址,此时需要ARP协议实现IP B→MAC B,来获取目的MAC地址。
Ethernet帧格式
Ethernet Frame

ARP协议

  在以太网上,IP 分组是封装在以太帧中发送的,因此发送时除了要有接收站的 IP 地址(IP 分组中的目的 IP 地址)外,还需要接收站的 MAC 地址(以太网帧中的目的MAC 地址)。ARP 协议(RFC 826)实现了 IP 地址(逻辑地址)到 MAC 地址(物理地址)的动态映射,并将所获得的映射存放在 ARP 高速缓存表中。其中地址映射有静态地址映射,也有动态的地址映射,对应的有静态ARP表和动态ARP表。计算机根据ARP表就可以在局域网中通信。
  ARP(Address Resolution Protocol,地址解析协议)是用来将IP地址解析为MAC地址的协议。
  RARP协议是查找到与MAC地址所对应的主机的IP地址,与ARP协议刚好相反。

ARP:IP→MAC
RARP:MAC→IP

  ARP和RARP请求通常是广播分组,只有一个对应的节点(例如网关)回答报文给询问主机,查询结果存储在一张ARP表中。

  如图所示,通过wireshark抓包,可以看到有ARP单波分组,以及ARP广播分组。
ARP单波和ARP广播分组

ARP风险

ARP风险分类
ARP的风险分为,ARP响应欺骗攻击和ARP请求欺骗攻击。ARP响应欺骗攻击又分为资源攻击、DoS攻击、MitM(中间人)攻击。

  ARP分组有ARP请求分组和ARP响应分组,分别是希望目的IP的MAC地址以及响应目的IP的MAC地址。根据RFC826可以看到ARP分组格式,其中操作代码值1表示ARP请求分组,操作代码值2表示ARP响应分组,如下图:(硬件类型:0x0001=以太网,0x0800=IP协议)
ARP Packet
ARP响应欺骗攻击是ARP响应分组对动态ARP表的影响。

  1. 资源攻击是许多假的ARP响应分组将动态ARP表的填满,例如路由器ARP表被填满,局域网中A主机的ARP表项不在ARP表中,此时BpingA操作,路由器发送ARP请求分组,路由器是无法接收A的响应分组。
  2. DoS攻击是使用ARP响应分组对ARP表中已有的ARP表项的目的MAC地址更改为错误的MAC地址,这样就导致目的MAC的主机网络中断。
  3. MitM(中间人)攻击是黑客收到ARP请求分组时伪造ARP响应分组,在正常的通信中间参与一个中间人的身份,对网络安全的影响是窃取数据、修改数据或者阻隔正常通信导致网络性能下降。例如A(IP A , MAC A)询问C,这时B回应C的MAC在这里,A就误以为B是目标通信者了。

ARP请求欺骗攻击是黑客持续的发送伪造ARP请求分组,例如目的主机的IP是192.168.1.2,ARP请求分组中,源IP地址和目的IP地址均为192.168.1.2,这就导致目的主机收到这个广播数据包之后,判断本机IP地址冲突,网络连接是不可用的,最终导致网络中断。

ARP风险的缓解办法

ARP地址解析协议是建立在网络中各个主机互相信任的基础上的,它的诞生使得网络能够更加高效的运行,但其本身也存在缺陷,有以下几种方法可以缓解:

  1. 硬编码ARP表,就是设置静态ARP表;
  2. 动态ARP表中设置老化时间(缓解资源攻击,事实上,动态表都应该有一个“租期”或者说“老化时间”);
  3. 过滤ARP应答,把未经请求的ARP表进行过滤(但是不能阻止DoS攻击);
  4. 锁住ARP表,在建立好IP/MAC映射之后,锁住这个ARP表项,缓解中间人攻击;
  5. 设置代理或者防火墙,来应对ARP的请求分组和响应分组;
  6. DHCP snooping。网络设备可借由DHCP保留网络上各电脑的MAC地址,在伪造的ARP数据包发出时即可侦测到。

参考链接:
[1]. 网络安全基础(胡道元)-通信网络安全体系结构
[2].《电子科技大学TCPIP协议原理》.(杨宁).[42讲]
[3]. 维基百科-ARP欺骗
[4]. 百度百科-ARP(地址解析协议)

ARP欺骗

Robert_30
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最新主机ARP协议栈 RFC5272
02-07
最新主机ARP协议栈 RFC5272. 相对RFC 826增加地址探测,WIN7按照这个协议
arp RFC 中文
12-29
RFC arp 中文文档,以太网地址转换协议或转换网络协议地址,很详细的
ARP协议安全威胁问题解决技巧
系统下载
07-01 743
1.同网段ARP欺骗分析 如下所示,三台主机的IP地址和MAC地址分布如下: A: IP地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA; B: IP地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB:BB; C: IP地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC。 一个位于主机B的入侵者想非法
ARP协议安全缺陷 (转)
circularr9834的博客
08-12 1098
ARP协议安全缺陷 (转)[@more@]ARP协议安全缺陷1、 太网帧格式媒体访问控制(Media Access Control.MAC)地址,以太网节点的标记,相对于网卡而言就是网卡号6字节 6字节 2字节 50-150...
ARP的预防措施
weixin_33809981的博客
02-10 96
 注:这里所说的网卡号即网卡的MAC地址.   转载于:https://blog.51cto.com/cnc01/61819
ARP作用和安全问题
weixin_45504433的博客
12-04 1205
APR 地址解析协议(Address Resolution Protocol)将IP地址解析成MAC地址。ARP报文封装在以太网帧中进行发送。 ARP广播ARP请求分组,包括:源IP、源MAC、目的IP ARP响应。目的IP的主机,单播方式向ARP主机发送响应分组。包括:响应IP和MAC,源IP和MAC 源主机写高速缓存。高速缓存记录IP和MAC地址对应关系,生存时间过后被删除。 ARP病毒 广播风暴 ARP木马使用ARP欺骗手段破坏客户机建立正确的IP和MAC的对应关系,把虚假的网关MAC地址发送给
arp.rar_arp_arp协议
09-14
资料可能涵盖了ARP欺骗的原理、实施方法及防范措施。 4. **ARP在交换机和路由器中的应用**:ARP协议不仅存在于主机之间,也存在于网络设备中,如交换机和路由器。文件可能讨论了这些设备如何使用ARP来转发数据包,...
网络协议解析之ARP协议.docx
11-06
**ARP协议详解** ARP,全称为Address Resolution Protocol,是局域网中用于将IP地址转换为物理MAC地址的重要协议。在网络通信中,主机之间通过数据帧进行通信,每个数据帧都包含目标主机的MAC地址。在以太网环境中...
arp.rar_ARP协议获取_arp
09-19
TCP/IP协议栈中,当一个设备需要向局域网内的另一台设备发送数据时,如果只知道目标设备的IP地址,就需要通过ARP协议来获取其对应的MAC地址,因为MAC地址是网络设备之间实际进行物理通信的标识。 在"arp.rar_ARP...
ARP.rar_arp/Mfc_arp协议
09-21
2. **创建ARP请求数据包**:根据ARP协议格式构造请求包,包括源和目标的IP及MAC地址。 3. **发送ARP请求**:使用Winsock的sendto函数广播ARP请求。 4. **接收ARP响应**:使用recvfrom函数监听网络,接收并解析响应包...
arp.rar_arp_arp c程序_arp协议C语言
09-23
标题中的"arp.rar_arp_arp c程序_arp协议C语言"表明这是一个关于ARP协议的C语言编程资源,其中可能包含源代码、解释和示例。ARP,即地址解析协议(Address Resolution Protocol),是网络协议,用于在局域网(LAN...
ARP协议的原理 获取以太网中IP地址与MAC地址的对应关系
01-05
互联层通过IP地址指定报文的始发地和目的地 低层物理网络使用物理地址表达帧的源和宿 地址解析协议ARP 以太网使用ARPIP地址与MAC地址进行动态映射 以太网具有固定长度的MAC地址和广播能力
arp问题
weixin_33856370的博客
08-25 114
写出我的问题也可以吗?我写一下:arp欺骗最近在这边机房比较频繁,我是IDC的技术,一个欺骗就是一个段受难,而遇到这种情况,往往是通知客户重装系统,别的好像没有什么更好的办法.有没有不用重装能彻底解决的办法.最好提供下arp欺骗的过程,不是原理什么的,我也知道点,我就想看一个实例(就是比如你是用arp欺骗***别人的人,你写出你arp的过程),这样看的或许更透彻一点!!!Th...
ARP协议安全问题安全威胁
weixin_33748818的博客
03-16 2373
在实现TCP/IP协议网络环境下,一个IP包走到哪里、要怎么走是靠路由表定义的,但是,当IP包到达该网络后,哪台机器响应这个IP包却是靠该IP包中所包含的硬件MAC地址来识别的。也就是说,只有机器的硬件MAC地址和该IP包中的硬件MAC地址相同的机器才会应答这个IP包,因为在网络中,每一台主机都会有发送IP包的时候,所以,在每台主机的内存中,都有一个 arp--〉硬件MAC...
仔细分析ARP经典问题
weixin_33671935的博客
01-08 278
今天复习TCP/IP路由技术卷一,再次看到代理ARP那提到的那个透明子网问题,联想到那个经典的网关问题,于是决定仔细分析和整理一下各种情况到该怎么去理解. 环境:一台中文XP,一台英文XP,双机用交叉线直连.起Sniffer抓包观察.A:IP 10.1.1.1/8 B:IP 11.1.1.1/8 From:[url]http://www.mycisco.cn...
ARP协议的漏洞、作用、危害以及防御
qq_45076423的博客
11-21 5103
首先,ARP协议工作在网络层。 ARP是Address Resolution Protocol的缩写 中文名:地址 解析 协议 作用:已知对方的IP地址,获取对方的MAC地址 原理/过程:1)发送ARP广播请求 2)回应ARP单播应答。 arp - a 是查看ARP缓存表的命令。 ARP协议的漏洞:在ARP缓存表上是后到后得,意思就是会始终更新最新的ARP缓存表,并且在学习其对应关系的时候不进行...
ARP经典问题
weixin_34055787的博客
05-08 622
Case Study: A Protocol ConflictFigure 3-10 shows two routers connected by two Ethernet networks, one of which includes a simple bridge. This bridge handles traffic for several other links n...
ARP安全
最新发布
weixin_46041124的博客
02-23 1292
如图3-247所示,SwitchA通过接口GE2/0/1连接DHCP Server,通过接口GE1/0/1、GE1/0/2连接DHCP客户端UserA和UserB,通过接口GE1/0/3连接静态配置IP地址的用户UserC。动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。
ARP 解析 | 工作原理 | 安全风险及应对策略
梓芮
01-29 1702
ARP(地址解析协议)是一种网络协议,用于将IP地址映射到相应的物理硬件地址,如MAC地址。ARP的主要目的是在局域网(LAN)上解决IP地址和硬件地址之间的映射关系,以便实现数据包的正确传递。ARP(地址解析协议)位于OSI(开放系统互联)模型的第二层,即数据链路层。数据链路层负责在物理网络上提供可靠的数据传输,并处理物理地址(MAC地址)的分配和解析。
ARP协议实现局域网内主机IP和MAC地址获取
ARP协议(Address Resolution Protocol)是一种用于获取局域网内主机的IP地址和MAC地址的协议。在以太网中,主机间通信是通过MAC地址进行的,而上层协议通常使用IP地址进行通信。为了保证网络主机之间的通信,必须有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值