ARP讲解(免费ARP、ARP代理、ARP攻击)

已于 2023-12-30 20:31:46 修改
阅读量1.1w 收藏 144
点赞数 15
分类专栏: # 路由交换协议理论讲解 文章标签: 网络 运维
于 2023-06-24 19:26:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49864110/article/details/131365376
版权

目录

普通ARP与免费ARP

ARP的基本概念

ARP缓存表

普通ARP报文讲解

免费ARP报文讲解

ARP代理讲解

ARP代理类型

路由式ARP案例分析

场景介绍

路由器没有开启ARP代理的情况(PC9无法与PC10通信)

路由器开启ARP代理的情况(PC9与PC10可以通信)

ARP攻击

ARP欺骗攻击 

ARP泛洪攻击

ARP中间人攻击

普通ARP与免费ARP

ARP(Address resolution protocol)地址解析协议

ARP的基本概念

ARP的分类

ARP主要分为普通的ARP、免费ARP和代理ARP(此处主要介绍普通ARP和免费ARP)

普通ARP和免费ARP的作用

1、通过ARP的请求和应答报文,可以根据目的IP地址来解析其对应的MAC地址

2、发送免费ARP请求,可以探测本机的IP地址在广播域内是否冲突、告知其他网络节点自己的IP地址和MAC地址、更新其他网络节点的ARP缓存表

ARP报文中涉及的全0-MAC地址和全F-MAC地址

全F为数据链路层封装的MAC,表示二层广播发送(免费ARP应答的Target MAC也为全F,表示该目的IP对应的MAC为非未知的)

全0为ARP请求报文的Target MAC封住的,表示目的MAC未知

ARP缓存表

用于缓存IP地址和MAC地址的映射关系,动态获取到的ARP条目老化时间为20分钟,1200s

 ARP缓存表和MAC地址表的区别

ARP缓存表缓存的是IP地址和MAC地址之间的关系;MAC地址表缓存的是端口和MAC地址之间的关系

ARP缓存表主要用于自身进行数据转发;MAC地址表用来指导别人进行数据转发

动态ARP老化时间1200s;动态MAC地址老化时间300s

普通ARP报文讲解

什么情况下发送ARP

当主机去访问其它主机时,需要二层封装MAC地址,如果此时本地的ARP缓存表没有目标主机相应的MAC地址,就需要发送ARP报文进行请求

通过案例介绍ARP流程以及ARP的报文结构

案例场景

PC1发送ARP请求(此处ARP报文的Target MAC显示错误,应该为全0)

数据链路层:源MAC为自己PC1的MAC地址,目的MAC为广播MAC
ARP报文:Sender IP为自己PC1的IP地址,Sender MAC为自己PC1的MAC地址
                 Target IP为目的PC2的IP地址,Target MAC为全0(表示该MAC地址未知)

PC2收到后发送ARP应答

数据链路层:源MAC为自己PC2的MAC地址,目的MAC为PC1的MAC
ARP报文:Sender IP为自己PC2的IP地址,Sender MAC为自己PC2的MAC地址
                  Target IP为目的PC1的IP地址,Target MAC为目的PC1的MAC地址

免费ARP报文讲解

什么时候发送免费ARP

1、当设备端口配置IP地址时,都会连续发送三次免费ARP来判断自己所配地址在广播域内是否冲突(如果没有收到免费ARP应答,则表示此地址不冲突)

2、VRRP协议的主设备也会发送免费ARP把报文

免费ARP请求和应答的特点

免费ARP请求也是ARP请求的一种,不同的是免费ARP的发送者和接收者IP地址都是自己

免费的ARP应答也是ARP应答的一种,不同的是免费ARP的发送者和接收者IP地址都是自己,并且接收者的MAC地址为全1

通过案例介绍免费ARP流程以及免费ARP的报文结构

案例场景

PC1发送免费ARP请求

数据链路层:源MAC为自己PC1的MAC地址,目的MAC为广播MAC
ARP报文:Sender IP和Target IP都为自己PC1的IP地址
    Sender MAC为自己PC1的MAC地址,Target MAC为全0(表示该MAC地址未知)

PC2发送免费ARP应答(告知此IP地址已经被自己使用)

数据链路层:源MAC为自己PC2的MAC地址,目的MAC为广播MAC
ARP报文:Sender IP和Target IP都为自己PC2的IP地址
                 Sender MAC为自己PC2的MAC地址,Target MAC为全F

ARP代理讲解

ARP代理类型

代理ARP场景下,设备通过ARP请求获得的MAC地址为ARP代理设备的MAC地址(不是目的IP对应的真实物理地址)

路由式ARP代理(常说的ARP代理就是此类型的)

应用场景

如果ARP请求是从一个网段的主机发往同一网段但不再同一物理网络上(被隔离)的主机,那么连接这两个网络的具有ARP代理功能的设备就会回应该ARP请求,这个过程称为ARP代理

即:需要互通的主机在路由器视角下为不同网段,但是主机两端都互相认为对方为同网段

代理设备代理回应ARP请求的条件

开启ARP代理功能

本地有去往目的IP的路由表

收到该ARP请求的接口与路由表下一跳不是同一个接口

Vlan内ARP代理  

应用场景

需要互通的主机处于相同网段,并属于相同Vlan,但是Vlan内配置了端口隔离的场景

Vlan间ARP代理——后续在Super-Vlan讲解

应用场景

需要互通的主机处于相同网段,但是属于不同Vlan的场景(也就是Super-Vlan场景)

Super Vlan理论讲解与实验配置-CSDN博客icon-default.png?t=N7T8https://blog.csdn.net/m0_49864110/article/details/127941250?csdn_share_tail=%7B%22type%22%3A%22blog%22%2C%22rType%22%3A%22article%22%2C%22rId%22%3A%22127941250%22%2C%22source%22%3A%22m0_49864110%22%7D

路由式ARP案例分析

场景介绍

PC9 ping PC10的通信过程

PC9和PC10不需要配置网关(因为对于这两台设备而言,其互访是同网段互访)

但是AR1认为PC9和PC10为不同网段

路由器没有开启ARP代理的情况(PC9无法与PC10通信)

PC9去访问PC10,发现目的IP与自己为同一网段,此时查看ARP表项,发现没有关于此目的IP的MAC地址;

此时PC9发送的ARP请求广播到达AR1的G0/0/0口之后,无法送达到G0/0/1口(路由器不同接口为不同广播域);

此时PC9和PC10无法通信

路由器开启ARP代理的情况(PC9与PC10可以通信)

第一阶段:PC9学习到PC10的MAC

PC9去访问PC10,发现目的IP与自己为同一网段,此时查看ARP表项,发现没有关于此目的IP的MAC地址;

PC9发送的ARP请求广播到达AR1的G0/0/0口之后,AR1发现接收此报文的接口开启了ARP代理,并且自己有关于该报文目的IP的路由,则此时AR1代替PC10向PC9发送ARP应答报文;PC9收到该应答后建立关于PC10-IP地址的ARP映射;AR1建立关于PC9的映射

具体信息

数据链路层:源MAC为PC9的MAC地址、目的MAC为广播全F

ARP层:Send-IP为PC9的IP地址,Target-IP为PC10的IP地址

              Send-mac为PC9的MAC地址,Target-mac为全0

具体信息

数据链路层:源MAC为G0/0/0的MAC地址、目的MAC为PC9的MAC地址

ARP层:Send-IP为PC10的IP地址,Target-IP为PC9的IP地址

              Send-mac为G/0/0的MAC地址,Target-mac为PC9的MAC地址

具体信息

IP:192.168.2.1   MAC:G0/0/0的MAC地址    

第二阶段:AR1学习PC10的MAC、PC10学习到AR1的MAC

虽然PC之间认为两者为同网段,但是AR1认为PC9和PC10为不同网段,当PC9和PC10进行交互时自身需要重新封装MAC地址,但是此时没有关于PC10的MAC地址映射;因此AR1需要通过自己的地址去请求PC10的MAC地址(向PC10发送ARP请求);

PC10收到后建立关于AR1-G0/0/1地址的ARP映射,并回应ARP应答给AR1;此时AR1建立关于PC10的映射

具体信息

数据链路层:源MAC为G0/0/1的MAC地址,目的MAC为全FF

ARP层:Send-IP为G0/0/1的IP地址,Target-IP为PC10的IP地址

              Send-mac为G/0/1的MAC地址,Target-mac为全0

具体信息

数据链路层:源MAC为PC10的MAC地址,目的MAC为G0/0/1的MAC地址

ARP层:Send-IP为PC10的IP地址,Target-IP为G0/0/1的IP地址

Send-mac为PC10的MAC地址,Target-mac为G/0/1的MAC地址

具体信息

IP:192.168.2.254   MAC:G0/0/1的MAC地址

第三阶段:PC10学习到PC9的MAC

在AR1去请求PC10的MAC地址的同时(即PC9建立PC10的ARP映射表后),PC9就封装ICMP报文发送给PC10;

当报文到达AR1后,AR1发现目MAC为自己,并且目的IP存在于路由表中;于是AR1将此PC9传递过来的报文重新封装发给PC10(AR1通过第二阶段获得了PC10的MAC)

#########################

PC10收到ICMP报文后,需要进行回应;回应时PC10发现PC9为自己同网段地址,但是自身没有关于PC9的ARP映射,则此时PC9发送ARP请求报文

PC10发送的ARP请求广播到达AR1的G0/0/1口之后,AR1发现自己接收此报文的接口有关于该报文目的IP的路由,则此时AR1代替PC9向PC10发送ARP应答报文;

PC10收到该应答后建立关于PC9-IP地址的ARP映射

具体信息

数据链路层:源MAC为PC10的MAC地址,目的MAC为全F

ARP层:Send-IP为PC10的IP地址,Target-IP为PC9

Send-mac为PC10的MAC地址,Target-mac为全0

具体信息

数据链路层:源MAC为G0/0/1的MAC地址、目的MAC为PC10的MAC地址

ARP层:Send-IP为PC9的IP地址,Target-IP为PC10的IP地址

Send-mac为G/0/1的MAC地址,Target-mac为PC10的MAC地址

具体信息

IP:192.168.1.1  MAC:G0/0/1的MAC地址

此时PC9和PC10就可以完成通信

ARP攻击

ARP欺骗攻击 

ARP协议的缺陷
1、设备不对收到的ARP请求检验,就将报文中相应的MAC地址和IP地址建立映射
2、设备发送ARP请求后,对于收到的ARP响应不做校验,将报文中相应的MAC地址和IP地址建立映射
3、设备发送ARP请求广播包,整个网络都收到该报文

针对ARP协议的缺陷诞生出ARP欺骗攻击

ARP欺骗的目的(造成的影响)

信息监听与转发、信息拦截、信息篡改

ARP欺骗的具体原理
1、ARP伪造同网段其他主机(欺骗主机)

  • 设备1去请求设备2的MAC地址,发送ARP广播,设备3伪造设备2的应答包发送给设备1(伪造包的源IP为设备2的地址、源MAC为设备3的MAC);此时设备1对应设备2 IP地址的MAC地址就是设备3
  • 但是如果此时设备1收到设备2发来的ARP应答包,就会更新ARP表项(此时ARP表项就变为正确的ARP表项了)
  • 但是如果设备3一直发送伪造的ARP应答,就可以保证设备1的ARP表项关于设备2 IP地址对应的MAC大部分时间都是设备2的;此时设备1发送给设备2的消息都发送给了设备3

2、ARP伪造网关(欺骗网关)

  • PC2向PC1发送伪造的ARP应答(源IP为网关,MAC地址为伪造设备),PC1发给网关的数据就被PC2窃取,然后PC2将信息篡改发送给真正的网关

ARP欺骗的解决方式
    静态配置ARP表项
    在交换机上做IP和MAC地址绑定(检验正确的数据包才可以通过)
    划分Vlan(只是减少ARP欺骗的范围)

ARP泛洪攻击

发送大量ARP请求/应答报文,使得设备的ARP表溢出,CPU负荷过重,造成设备难以响应正常服务(限制接口学习数量、静态配置ARP表项等)

ARP中间人攻击

中间人攻击就是同时欺骗局域网内的主机和主机的网关(通过发送假的ARP报文将主机/用户的IP地址与自己的MAC绑定),使得主机和网关的数据都会发送给同一个攻击者, 进行信息的篡改和泄露

具体流程为:客户端数据包经过中间人,再由中间人转发给服务器

ARP中间人攻击其实也就是利用ARP进行欺骗,所以也可以通过防范ARP欺骗的方法来防范ARP中间人攻击

静下心来敲木鱼
关注
专栏目录
ARP协议报文分析
天道酬勤
09-10 1528
ARP(Address Resolution Protocol,地址解析协议)协议属于网络层协议,它实现了将目的主机的 IP 地址转换为 MAC 地址(物理地址)。ARP工作原理主机向自己所在的网络(比如家用路由器)广播一个 ARP请求(request),该请求包含目的主机的IP地址,此网络上的其它主机都将收到这个请求,但只有被请求的目的主机会回应一个 arp 应答(reply)。ARP 协议报文格式: 硬件类型(2字节)协议类型(2字节)硬件地址长度(1字节)协议地址长度(1字节)操作(2字节)源MAC
TCP/IP详解(4,5)ARP和RARP,第四,五章笔记整理
hellokazhang的博客
09-08 3476
1  ARP协议概述     IP数据包常通过以太网发送,但是以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映射关系的协议,位于TCP/IP协议
通信与网络中的ARP网络协议工作原理
11-12
假设网络中有两个节点A和B,如果A需要把IP数据包通过网络发送到B,那么A首先在自己的缓存中搜索和B关联的表目,如果查找成功,就使用表中对应的MAC地址来发送数据;如果查找关联表目失败,A就生成一个以太网的广播帧,并在帧中填入A的IP地址、A的MAC地址、B的IP地址、协议类型等字段,形成一个ARP请求帧。   B接收到A发出的ARP请求(广播)帧后,首先根据A的信息刷新自己的ARP缓存,以节省不必要的ARP通信,然后生成一个ARP应答帧,在其中填入B的MAC地址,并把应答帧通过以太网发送回A。A将B的ARP信息写入高速缓存,完成一次ARP请求和应答过程。   即使没有发送ARP请求,当收
ARP协议的基础知识(经典)
weixin_34128501的博客
08-01 117
关于ARP协议的基础知识 1.ARP的工作原理 本来我不想在此重复那些遍地都是的关于ARP的基本常识,但是为了保持文章的完整性以及照顾初学者,我就再啰嗦一些文字吧,资深读者可以直接跳过此节。 我们都知道以太网设备比如网卡都有自己全球唯一的MAC地址,它们是以MAC地址来传输以太网数据包的,但是它们却识别不了我们IP包中的IP地址,所以我们在以太网中进行IP通信的时...
网络篇12 | 链路层 ARP
最新发布
qiushily2030的博客
04-14 1209
主机A的IP地址为192.168.1.1,MAC地址为0A-11-22-33-44-01;主机B的IP地址为192.168.1.2,MAC地址为0A-11-22-33-44-02;第1步:根据主机A上的路由表内容,IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。第2步:如果主机A在ARP缓存中没有找到映射,它将询问192.168.1.2的硬件地址,从而将ARP请求帧广播到本地网络上的所有主机。
免费ARP(gratuitousARP
毅修的专栏
11-17 5163
来源: http://www.vants.org/?post=118 作者:易隐者 发布于:2012-9-15 17:26 Saturday 分类:网络分析  免费ARP的格式        免费ARP报文与普通ARP请求报文的区别在于普通的ARP请求报文,其ARP封装内的“目的IP地址”是其他机器的IP地址,而免费ARP的请求报文,其ARP封装内的“目的IP地址”是
免费(无辜)ARP代理ARP
里晓山的博客
01-10 2831
一、免费ARP 设备主动使用自己的IP地址作为目的IP地址发送ARP请求,这种方式成为免费ARP(gratuitous) 可以进行IP冲突检测,看看有没有其他人使用自身这个IP 设备更换了Mac地址,会触发免费ARP,用来刷新对端mac表的映射 VRRP主备切换 服务器的集群环境下,服务器间互相冗余,之间存在心跳报文,使用的是免费arp来做心跳 sender 发送者 target 目标 二、代理ARP 两个主机相同网段,但不在同一物理网络(不在同一广播域),此时两主机互访需
ARP详解
独自登高楼 望断天涯路
03-26 1348
我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。  一、什么
免费ARP代理ARP
m0_58176731的博客
11-26 196
两个主机相同网段但在不在同一物理网络(不在同一个广播域),此时两主机互访需要中间网络设备代替主机发送arp响应,该过程称为代理arp。开启arp代理的功能:接口下 arp-proxy enable。HCIP扩展部分,高级VLAN。如需要单播通信,启用。
ensp加kali实现arp欺骗攻击
04-21
网络安全领域,ARP欺骗是一种常见的攻击手段,它利用了局域网中地址解析协议(ARP)的缺陷。本文将深入探讨如何使用Kali Linux这一专业安全操作系统,配合ENSPI(Ethernet Network Simulation Platform,以太网...
arp.rar_ARP报文获取_Dos attack code_arp_attack_dos攻击 检测
09-21
标题中的“arp.rar_ARP报文获取_Dos attack code_arp_attack_dos攻击 检测”表明这是一个关于ARP协议的资源,包含了ARP报文的捕获和分析,特别是与DoS(拒绝服务)攻击相关的代码。这个压缩包很可能是程序员或网络...
什么是arp攻击?常见arp攻击有哪些?
10-01
主要介绍了什么是arp攻击?常见arp攻击有哪些?本文讲解ARP正常工作、ARP欺骗攻击ARP攻击为什么会掉网等内容,需要的朋友可以参考下
局域网中ARP攻击和浏览器挟持的解决方法
10-01
ARP攻击和浏览器挟持是两种常见的局域网安全问题,主要影响网络的稳定性和用户的数据安全。ARP(Address Resolution Protocol)协议是用来将IP地址映射为MAC地址的机制,这在局域网通信中至关重要。然而,攻击者利用...
巧配交换机防止同网段ARP攻击
10-22
ARP攻击,全称为地址解析协议攻击,是一种常见的网络安全问题,主要通过欺骗局域网内的主机或者网关,让目标主机错误地更新其ARP表项,从而达到截取数据包的目的,或者造成目标主机网络通信中断。ARP攻击的危害主要...
普通ARP免费ARP
qq_43571677的博客
03-25 2843
普通ARP免费ARParping命令的使用 http://tenderrain.blog.51cto.com/9202912/1650245 问题:ARP协议是二层协议,还是三层协议? 答:ARP工作在二层和三层之间,但是属于三层协议(是TCP/IP协议的附属协议) 免费ARP是指主机发送ARP查找自己的IP地址。 通常,它发生在系统引导期间进行接口配置的时候。在互联网中,如果我们引导主机bs...
免费ARP代理ARP
LBJ19224的博客
02-29 1049
实验一:分析免费ARP代理ARP;拓扑如下: 免费ARP:设备ip地址配置如上,在接口配置ip地址后,设备会立即发送一份免费ARP报文,封装格式如下图抓到的数据包; 通过抓包可看出这是一个目的mac为全F广播报文,并且这是一个ARP( gratuion ARP免费ARP报文,请求ip地址都为172.16.1.254,目的mac为全0,目的是为了检测网络中是否有其他设备使用该地址。 代理AR...
ARP安全协议 免费ARP
qq_44090228的博客
07-23 393
ARP安全 ARP协议有简单、易用的优点,但是也因为其没有任何安全机制,容易被攻击者利用。在网络中,常见的ARP攻击方式主要包括: 1、ARP泛洪攻击,也叫拒绝服务攻击DoS(Denial of Service),主要存在这样两种场景: 1)设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成A
ARP介绍
Scannme的专栏
03-29 1509
ARP协议介绍
本地代理arp和普通代理arp
05-05
本地代理ARP和普通代理ARP都是ARP协议的实现方式,两者的区别在于它们的应用场景不同。 本地代理ARP,也称为透明代理ARP,是指在同一子网内,网关设备将目标主机的MAC地址缓存到本地ARP表中,以提高网络性能。当本地ARP表中不存在目标主机的MAC地址时,网关设备会通过广播ARP请求获取目标主机的MAC地址,并将其缓存到本地ARP表中。本地代理ARP通常用于交换机、路由器等设备中。 普通代理ARP,也称为代理ARP,是指在不同子网之间,网关设备代理目标主机向本地子网广播ARP请求,以获取目标主机的MAC地址。当网关设备收到目标主机的ARP请求时,会将本地子网的MAC地址作为自己的MAC地址返回给目标主机,从而达到代理ARP的目的。普通代理ARP通常用于路由器、防火墙等设备中。 总之,本地代理ARP和普通代理ARP都是ARP协议的实现方式,其区别在于应用场景的不同。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

静下心来敲木鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值