TCP/IP illustrated 阅读笔记(五) ARP协议

最新推荐文章于 2024-05-22 19:23:09 发布
最新推荐文章于 2024-05-22 19:23:09 发布
阅读量6.3k 收藏 14
点赞数 7
分类专栏: 读书笔记 文章标签: 网络 ipv4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/damontive/article/details/51509376
版权

1. ARP协议简介

Address Resolution Protocol,用于建立和维护IPv4(IPv6使用NDP协议)地址和MAC地址的动态映射。在一个局域网中(LAN),数据包通过MAC地址来寻址的(网络层的数据包被封装在二层数据帧中进行传输),但是IPv4是用IP地址来寻址。只知道IP地址,不知道MAC地址,数据包是无法发送(不能寻址)的,这个时候就使用ARP协议获得IP地址对应的MAC地址。

注意ARP协议只在LAN中使用(LAN不仅指192.168之类的私有网络地址,公网地址也是可以组成一个一个LAN的)。那么如果目的IP不在当前LAN中呢,TCP/IP协议族是用来实现多个LAN之间的互联,网关就相当于一个国家(LAN)的海关,一个LAN中的主机发给其他LAN的数据包(货物)首先发给网关,然后网关再把数据包发送出去。所以主机需要做的事情是把数据包发送给网关,网关的IP是已知的,此时ARP协议的工作是已知网关的IP获得网关的MAC地址。

ARP协议要求链路层支持广播

2. ARP协议工作的一般过程

假设现在有一个LAN,LAN的网段是202.117.15.0/24

主机A的IP地址:202.117.15.10,MAC地址00:00:00:00:00:10

主机B的IP地址:202.117.15.11,MAC地址00:00:00:00:00:11

A此时要给B发送一个UDP包(三层包),A不知道B的MAC地址,过程如下:

1. A发送一个ARP request(广播包,目的MAC全1),LAN中的所有主机(不考虑VLAN)都会收到这个ARP request。这个ARP request的内容主要是:哪位小哥的IP地址是202.117.15.11啊,告诉我呗,我的IP地址是202.117.15.10,MAC地址是00:00:00:00:00:11

2. B收到了这个ARP request后,发现ARP request询问的IP地址是自己,B做了N件事:1)更新自己的ARP映射,即把MAC地址00:00:00:00:00:10映射到202.117.15.10上。(不考虑静态映射)。2)给主机A发送ARP reply(单播,A的MAC地址已知),主要内容是:哎呀,A你好啊,我就是你要找的那个B(202.117.15.11)啊,我的MAC地址是00:00:00:00:00:11。其他主机收到这个广播后,会执行步骤1),更新自己的ARP映射(不考虑存在静态映射的情况)

3. A收到B发来的ARP reply,更新自己的ARP映射,即把MAC地址00:00:00:00:00:11映射到202.117.15.11上。

4. 此时A知道了B的MAC地址,B也知道A的MAC地址,于是A和B就可以没羞没臊地聊天了(互相发送三层数据包),只要某个时刻其中一个主机的MAC地址-IP地址映射过期了,就再次重复1到3的过程,然后继续愉快地聊天,一点都不影响兴致呢。

3. ARP包的格式

ARP在OSI七层模型中和TCP/IP四层模型中都被放在了数据链路层(二层),但是又有点像三层的,ARP有ethtype(0x0806),IP的ethtype是0x0800,貌似有称为2.5层的

下面是Ethernet & IPv4网络中的ARP包的格式

byte0

byte1

byte2

byte3

Hardware type

Protocol type (PTYPE)

Hardware address length

Protocol address length

Operation

Sender hardware address(48bit)

Sender protocol address(32bit)

Target hardware address(48bit)

Target protocol address(32bit)

ARP包是封装在以太帧中,和IP包在以太帧中的位置是一样一样的

字段说明:

Hardware type: MAC地址类别,Ethernet中该值为1。通常所说的MAC地址,物理地址,数据链路层地址都指的同一个东西,以太网中的MAC地址又成为以太网地址。

Protocol type: 协议地址类别,IPv4网络中该值为0x0800(是的,和ethtype的值是一样的,这不是巧合,用的就是Ethtype的值)

Hardware address length:MAC地址长度,Ethernet中该值为6

Protocol address length:协议地址长度,IPv4中该值为4

Operation: 说明ARP包的类型,request时值为1,reply为2

Sender hardware address 发送者的MAC地址

Sender protocol address:发送者的协议地址(IPv4地址)

Target hardware address:目标MAC地址,ARP request中为广播地址(全1)

Target protocol address:目标协议地址,

 

发送者会在ARP request中填入自己的MAC地址,IP地址(Sender地址),目标MAC填入二层广播地址,目的IP地址填入询问的IP地址,目标主机收到ARP request后,发送ARP reply包,ARP reply中的Target地址是ARP request的Sender MAC地址和IP地址,ARPreply的Sender地址是主机自己的MAC地址和IP地址。

4. ARP映射的类别和超时时间

C:动态的映射,动态学习获得的,就是通过上述的那个一般过程获得的,一般超时时间为20分钟(RFC1122中规定的)

M:静态的映射,手动静态配置的ARP映射,没有超时时间,但是大多数的实现中ARP reply会更改静态的ARP映射(不管本主机是否发送过ARP request),没有做过这个实验,不清楚替换后的ARP映射是静态的还是动态的。

P:publish,主要用于代理ARP,代理ARP让主机回应(发送ARP reply)不是指向自己IP地址的ARP request,让Sender以为自己是要找的MAC地址。这个现在很少用了

5. Gratuitous ARP

无理由ARP(请无视我的翻译),GratuitousARP是指主机发送一个目标IP为自己IP的ARP request。Gratuitous ARP一般在系统bootstrap(引导程序)时间执行(这里我不太理解,计算不是系统启动时间,只要是网卡启动时应该都会发送的吧)网卡发送一个目标IP为自己ARP request。

这个ARP包主要有两个作用:

1. 主机确定当前网络中是否有主机的IP和自己的IP是一样的。如果这个ARPrequest发出后,收到了ARP reply,说明当前LAN(或者VLAN)有主机用了和本机一样的IP。这个时候系统通常会提醒用户IP地址冲突。如果没有收到ARP reply,说明LAN(或者VLAN)中没有主机和自己IP地址一样。

2. 主机的MAC地址可能发生了变化(比如修改了MAC地址,或者换了网卡)。ARP request可以让LAN(或者VLAN)中所有主机更新ARP request发送者的IP和MAC的映射关系。(静态的ARP映射关系应该不会被ARP reqeust更新,通常只会被ARP reply更新——这个是我根据上下文推测的,还没有试验过)

6. 地址冲突检测(ACD)

Gratuitous ARP发现地址冲突后什么都不能做,只能提示用户发生了地址冲突。所以RFC5227提出了一个新的机制:ACD(Address Conflict Detection)

ACD可以对地址冲突做出反应,ACD定义了ARP probe和ARP announcement两种ARP包(都是ARP request,只是填充内容不太一样)

ARP probe:用于检测IP地址冲突,Sender IP填充为0,填充为0是为了避免对其他主机的ARP cache造成污染(因为可能已经有主机正在使用候选IP地址了,不要影响别人的正常通行嘛),Target IP是候选IP地址(即本机想要使用的IP地址)

ARP announcement:用于昭示天下(LAN)本机要使用某个IP地址了,是一个SenderIP和Traget IP填充的都是本机IP地址的ARP request。这会让LAN(VLAN)中所有主机都会更新自己的ARP cache,将IP地址映射到发送者的MAC地址。

6.1 ACD流程

1. 网卡启动时(或者从睡眠状态恢复,或者链接建立时)会发送一个ARP probe。(为了避免多个网卡同时启动同时发ARP probe造成拥塞,有一个拥塞避免策略,不会立刻发送ARP probe,单个网卡的多个probe也不会连续发送,会有间隔时间)

2. 发送主机可能收到ARP reply或者ARP probe,如果收到了ARP reply,说明候选IP地址已经有主机在用了。如果收到了一个Target IP地址为候选IP的ARPprobe,说明另外一个主机也同时想要使用该候选IP地址。这种情况下,两个主机都会提醒用户出现了IP地址冲突。然后进行地址冲突处理(见后面)

3. 如果上述两种ARP包都没有收到,说明候选IP地址可用。主机发送一个ARP announcement,告诉其他主机这个候选IP有人用了,这个ARP request会让LAN(VLAN)中其他主机更新ARP cache。

4. 系统运行期间,ACD是一直在运行的,这点与Gratuitous ARP不同。主机会一直检测收到的ARP reqeust 和ARP reply,判断Sender IP域是否和本机IP地址一样,如果一样说明有主机也在用这个IP地址了。然后需要进行地址冲突处理。(见下面)

地址冲突处理:《RFC5527》提供了三种可选的解决机制:1)放弃使用该IP地址,2)发送一个ARP announcement来进行IP地址“守卫”,如果冲突仍然继续存在,放弃使用这个IP。3)无视冲突,继续使用这个IP

7. TODO:

1. 实验ARP reqeust 和ARP reply 是否可以更新静态IP-MAC映射

2. 实验不断发送ARP reqeust进行攻击

3. 实验不断发送ARP reply进行攻击

4. 实验使用ARP欺骗LAN中的其他主机(让主机以为自己是网关,或者让网关以为自己是目的主机,或者both),并在主机无法察觉的情况下查看主机数据。尝试去篡改用户数据


胡LiuJia
关注
  • 7
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
计算机网络实验(二)
good_jiojio的博客
04-17 3661
arp协议实验
TCP/IP学习笔记(3)-IPARP、RARP协议
qq_41955653的博客
11-03 167
TCP / IP学习笔记(3) - IPARP,RARP协议 把这三个协议放到一起学习是因为这三个协议处于同一层,ARP协议用来找到目标主机的以太网网卡的Mac地址,IP则承载要发送的消息。数据链路层可以从ARP得到数据的传送信息,而从IP得到要传输的数据信息。 IP协议 IP协议TCP / IP协议的核心,所有的TCP,UDP,IMCP,IGCP的数据都以IP数据格式传输。要注意的是,...
TCP-IP Illustrated(1、2、3卷)中文版
10-29
完整而详细的TCP/IP协议讲解. Stevens写的巨著. 共分三卷: TCP-IP详解卷1:协议.pdf TCP-IP详解卷2:实现.pdf TCP-IP详解卷3:TCP事务协议,HTTP,NNTP和UNIX域协议.pdf
ARP通告协议ARP announcement
热门推荐
xiaopeng_thriller的博客
08-24 1万+
用灵州设备进行ARP宣告的时候突然忘记了其中使用的协议 于是抓包查看 发现使用的为ARP announcement 协议通告,告知设备需要使用此地址 ARP announcement: 用于昭示天下(LAN)本机要使用某个IP地址了,是一个SenderIP和Traget IP填充的都是本机IP地址的ARP request。这会让LAN(VLAN)中所有主机都会更新自己的ARP cache,将IP地址映射到发送者的MAC地址 顺带将ARP 也复习下 1. ARP协议简介 Address Re
ARP 协议
最新发布
2401_83601024的博客
05-22 1211
假设你的网关的 IP 地址是 192.168.0.2,MAC 地址为 00-11-22-33-44-55,那么你发送的数据都会从这个 MAC 地址经过,这时候我发送大量的 ARP 数据包,然而我的包是构造出来的,IP 依旧是你的 IP,但 MAC 地址却被我替换成了我的 MAC 地址。后者则表示需要映射的协议地址类型。:在发送 ARP 请求时,目标硬件地址是空着的(全为 0),因为 ARP 请求要请求的就是它的值,当目标设备请求收到后,就会把自己的硬件地址写到这个字段,并把操作码改成 2,再应答回去。
ARP协议
Mrlie的博客
12-04 4704
一、概念 APR协议,全称Address resolution protocol,地址解析协议,属于TCP/IP协议簇中的网际层,但与MAC紧密相连,所以也有人说是属于2.5层。 二、目的 已知IP地址,获取其MAC地址。 三、原理 主机想要知道某个IP的MAC地址,查询自身ARP高速缓存表后,发现并没有,则构建一个ARP数据包(ARP请求),以广播的形式发送,广播域中,所有主机都能收到这个广播帧,非目的主机收到后,发现其IP地址与自身不匹配,则丢弃...
Wireshark抓包摸索(ARP、ICMP、TCP
qq_51214556的博客
09-05 4692
什么是ICMP?因特网控制报文协议ICMP是一个差错报告机制,是TCP/IP协议簇中的一个重要子协议,通常被IP层或更高层协议TCP/UDP)使用,属于网络协议。主要用于在IP主机和路由器之间传递控制消息,用于报告主机是否可达、路由是否可用等。这些控制信息虽然并不传输用户数据,但是对于收集各种网络信息、诊断和排除各种网络故障以及用户数据的传递具有至关重要的作用。为什么需要ICMP?在数据传输过程中,IP提供尽力而为的服务,即为了把数据包发送到目的地址尽最大努力。
TCP/IP链路层ARP协议实现(lwip)
arm7star的博客
04-18 1020
1、arp报文格式 《TCP-IP详解卷 1:协议》P40中的ARP请求/应答报文格式如下所示: 局域网链路层通信使用MAC地址,以交换机为例,连在一个交换机上的主机可以作为一个局域网,该网内的主机通过MAC地址通信;主机发数据到交换机时,交换机会记录该主机的MAC地址所在交换机的端口,其他主机发送报文到该主机时,交换机根据记录的MAC地址与端口的映射,找到对应MAC地址所在端口,然后从该端口把报文转发出去(转发到目的主机)。 以太网目的地址、以太网源地址即为目的主机、源主机的MAC地址;帧类型表
TCP/IP Illustrated 2nd Edition
04-05
TCP/IP Illustrated, Volume 1, Second Edition, is a detailed and visual guide to today’s TCP/IP protocol suite. Fully updated for the newest innovations, it demonstrates each protocol in action ...
TCP-IP Illustrated, Vol. 1 The Protocols
09-02
TCP-IP Illustrated, Vol. 1 The Protocols,英文原版,文字版,带标签!Unix 网络经典著作! 全书共 30 个章节!
TCP/IP illustrated Vol1 2nd 原版Kindle版本!
08-01
网上有很多TCP/IP的资源,这本是Kindle版本,原版的Kindle版,值得推荐
TCP/IP Illustrated
10-01
Richard Stevens TCP/IP illustrated is one of the best books you can ever buy to understand not only TCP/IP but also other fundamental protocols like ARP, DHCP, SMTP etc. The word 'Illustrated' is ...
ARP ( Address Resolution Protocol )地址解析协议
weixin_44732231的博客
08-25 167
1:(在路由器的情况下,终端设备不会自动发免费包arp)当你在配置ip地址,arp会发出一个(arp announcement,中文为arp通告协议)“免费包”arp,而这个免费包arp的源地址和目的地址都是你配置的ip地址,源mac就是你配置ip端口的mac地址,目的mac地址会设置为全0。从报文可以看出,设备会首先发一个广播的arp,并询问谁是192.168.1.2 ,请告诉192.168.1.1,然后目的设备发了一个reply包,指明了192.168.1.2 的mac地址。
无回报ARP的生成
木子皿--啥都不会的菜鸟
09-17 704
文章目录1 无回报ARP的生成1.1 原理概述1.2 代码实现 1 无回报ARP的生成 1.1 原理概述 1.2 代码实现 xnet_tiny.h中添加如下代码: #pragma pack(1) #define XARP_HW_ETHER 0x1 // 以太网 #define XARP_REQUEST 0x1 // ARP请求包 #define XARP_REPLY 0x2
ARP: Address Resolution Protocol
qq_41278986的博客
01-03 281
如果检测到冲突,ACD 采取以下三种措施:停止使用该地址,保留该地址并发送一个 “defensive” ARP announcement,如果仍有冲突,终止使用该地址或者仍然继续使用该地址,不管冲突 (e.g., 嵌入式设备比如 router 或 printer)。ARP 请求包含一个 IPv4 地址,目的地址为 10.0.0.1 且寻找下列问题的答案:“如果你配置了 IPv4 地址 10.0.0.1 作为你的 IP 地址之一,请向我响应你的 MAC 地址。它宣称发送方意图使用候选的 IPv4 地址。
ARP帧、ARP过程、免费ARP、ACD的原理
Johan_Joe_King的博客
04-14 2037
1、ARP帧 2、ARP过程 3、免费ARP 4、冲突地址检测ACD
深层解析ARP协议
mikumikuZuo的博客
06-02 1458
ARP状态机中,实际上生效的状态仅有reachable一项,当状态机从reachable进入stale状态的时候,为了保留neighbour结构体,优化内存以及CPU利用,实际上 arp缓存表项仅仅是表现为不可用,而不是直接删除。每一个ARP缓存表都对应的存在一个ARP状态机,而从图中可以看到 arp 缓存表仅在Reachable状态对于外发包是可用的,而Stale状态实际是不可用的,可以理解为Linux维护stale只是为了保留一个neighbour结构体,在其状态改变时只是个别字段得到修改或者填充。
tcp/ip illustrated
04-06
TCP/IP详解》是一本涵盖计算机网络协议的权威书籍,详细介绍了TCP/IP协议栈的构成、原理、实现和应用。该书是学习计算机网络领域的重要参考书之一,帮助读者深入理解网络基础架构,并掌握重要的网络通信技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值