ARP工作的过程、原理及现象
ARP全称是地址解析协议(address resolution potocol),是在仅仅知道主机的IP地址时确定其物理的地址的一种协议。
ARP协议的工作过程
场景:假设局域网(LAN)内有A,B两台主机,A要向B发送数据包。
过程分为以下几个步骤:
- A先在其ARP高速缓存中查找是否有B的IP地址,如果有,就存在对应的物理地址,在把这个物理地址写入到MAC帧,然后通过局域网将MAC帧发送到此物理地址。如果没有查到B的IP地址,就进入第2步。
- A的ARP进程在自己的局域网上广播一个ARP请求,主要的内容是A自己的IP地址、MAC地址、询问的IP地址(B的地址)。
- 局域网内的所有主机都能收到此ARP请求。
- 主机B的IP地址与ARP请求中要查询的IP地址一致,就收下这个ARP请求,并向A单播发送ARP响应(其中写入了B自己的物理地址),同时将A的物理地址映射写入自己的ARP高速缓存中。由于其余的所有主机IP地址都与ARP请求分组要查询的IP地址不一致,因此都不理睬这个ARP请求。
- A收到B的ARP响应后,就在其ARP高速缓存中写入B的IP地址到物理地址的映射。
至此,A得到了从B的IP地址到其MAC地址的映射。当映射超过在高速缓存保存超过生存时间,将被从高速缓存中删除。
ARP欺骗的原理
用一句话总结就是:向目标机发送伪造的ARP应答使得目标机中存在有伪造的ARP缓存(即IP地址与MAC地址之间的映射对)。
ARP欺骗的防范
1.主机级被动检测
当系统接收到来自局域网上的ARP请求时,系统检查该请求发送端的IP地址是否与自己的IP地址相同。如果相同,则说明该网络上另有一台机器与自己具有相同的IP地址。
2.主机级主动检测
主机定期向所在局域网发送查询自己IP地址的ARP请求报文。如果能够收到另一ARP响应报文,则说明该网络上另
有一台机器与自己具有相同的IP地址。
3.服务器级检测
当服务器收到ARP响应时,为了证实它的真实性,根据反向地址解析协议(RARP)就用从响应报文中给出的 地 MAC
址再生成一个RARP请求,它询问这样一个问题:“如果你是这个MAC地址的拥有者,请回答你的IP地址”。这样就会查询到这个MAC地址对应的IP地址,比较这两个IP地址,如果不同,则说明对方伪造了ARP响应报文。
4.网络级检测
配置主机定期向中心管理主机报告其ARP缓存的内容。这样中心管理主机上的程序就会查找出两台主机报告信息的不一致,以及同一台主机前后报告内容的变化。这些情况反映了潜在的安全问题。或者利用网络嗅探工具连续监测网络内主机硬件地址与IP地址对应关系的变化。
windows下查看arp缓存
ARP缓存表是可以查看的,也可以添加和修改。在命令提示符下,输入“arp -a”就可以查看arp缓存表的内容了。
用“arp -d”可以删除arp缓存表里的所有内容。
用“arp -s“可以手动在arp表中指定ip地址与mac地址的对应关系。
319
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
