ARP协议了解及深入

ARP简述

ARP协议全称为(Address Resolution Protocol)地址解析协议,用来获取物理地址(MAC)的一个协议,属于数据链路层协议,基本功能是在主机发送数据之前将目标IP转换为MAC地址,完成网络地址到物理地址的映射,保证正常通信。
ARP分类为5类,正向ARP,代理ARP,免费ARP,翻转ARP,逆向ARP,ARP表项的老化超时时间缺省为1200秒

ARP原理

正向ARP工作原理,两台主机A和B互相通信,ApingB,A会通过子掩码进行对比,看是否与目标B在同一局域网内,如果在同一局域网,A会查询本机的ARP缓存表,看是否存在主机B的MAC地址,如果存在,则直接发送数据,如果不存在,主机A将发送一个源地址、源MAC为自身,目的IP为B,目的MAC为全F(B主机的MAC未知) 的ARP request的广播报文,局域网的其他主机收到广播报文之后,会更新自身ARP缓存表,加入A主机的MAC地址及IP信息,发现目的IP不是自身的话正常不会应答会丢弃,当B主机收到报文之后,更新ARP缓存表之后,会发送一个源地址、源MAC是自己,目的地址、目的MAC为A的ARP reply 的单播报文给A 主机,A主机收到B主机回复的ARP报文之后,会更新自身ARP表,将B主机IP和MAC写入,方便下次联系。当A和B不在同一局域网时,主机A首先将查询自己的ARP缓存是否有网关A的MAC,如果不存在,使用广播获取,如果存在,直接向网关A发送数据包,由网关A向网关B,网关B收到数据包之后发现是给主机B的,将会查询自己的ARP缓存是否存在主机B的MAC地址,若存在,则直接发生数据,不存在则以广播方式获取MAC地址后发送数据
ARP报文抓包截图如下
ARP request
在这里插入图片描述
ARP reply
在这里插入图片描述

ARP欺骗

攻击者经常利用ARP协议的缺陷发起攻击,ARP缺陷如下:

  1. ARP协议是无状态的,所有主机都可以自由的发送ARP请求,应答包
  2. 攻击者可以伪装ARP应答,以假乱真
  3. 计算机没有验证IP和MAC是否正确的机制,当主机收到一个ARP应答后,不会考虑IP和MAC的真实性,而是直接将应答包中的MAC地址与对应IP地址替换掉原有ARP缓存表的相关信息
    中间人攻击是常见的攻击手段,好比主机A与主机C之间通信都要通过主机B,主机B就被称为“中间人”,常见的中间人攻击有会话劫持、DNS欺骗等。

ARP攻击

攻击者在入侵目标站点时,由于安全措施很到位,并不能获取权限,恰好服务器只放了一个网站,无法旁注,这时攻击者就有可能通过C段ARP嗅探攻击,继续入侵。
常见的ARP欺骗攻击:Cain,Ettercap

ARP防御

  1. 静态绑定ARP
    通过命令 “arp -s IP MAC地址” 绑定,arp -a 查看arp缓存表
  2. ARP防火墙
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值