arp 基本原理和防護
一、 arp 基本原理:
位址解析協議,即arp(address resolution protocol),是根據ip位址獲取實體地址的乙個tcp/ip協議。主機傳送資訊時將包含目標ip位址的arp請求廣播到網路上的所有主機,並接收返回訊息,以此確定目標的實體地址;收到返回訊息後將該ip位址和實體地址存入本機arp快取中並保留一定時間,下次請求時直接查詢arp快取以節約資源。位址解析協議是建立在網路中各個主機互相信任的基礎上的,網路上的主機可以自主傳送arp應答訊息,其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機arp快取;由此***者就可以向某一主機傳送偽arp應答報文,使其傳送的資訊無法到達預期的主機或到達錯誤的主機,這就構成了乙個arp欺騙。arp命令可用於查詢本機arp快取中ip位址和mac位址的對應關係、新增或刪除靜態對應關係等。相關協議有rarp、**arp。ndp用於在ipv6中代替位址解析協議。
二、 arp 功能:
位址解析協議由網際網路工程任務組(ietf)在2023年11月發布的rfc 826中描述制定。 位址解析協議是ipv4中必不可少的協議,而ipv4是使用較為廣泛的網際網路協議版本(ipv6仍處在部署的初期)。
osi模型把網路工作分為七層,ip位址在osi模型的第三層,mac位址在第二層,彼此不直接打交道。在通過乙太網傳送ip資料報時,需要先封裝第三層(32位ip位址)、第二層(48位mac位址)的報頭,但由於傳送時只知道目標ip位址,不知道其mac位址,又不能跨第
二、三層,所以需要使用位址解析協議。使用位址解析協議,可根據網路層ip資料報包頭中的ip位址資訊解析出目標硬體位址(mac位址)資訊,以保證通訊的順利進行。
三、 工作過程
主機a的ip位址為192.168.1.1,mac位址為0a-11-22-33-44-01;
主機b的ip位址為192.168.1.2,mac位址為0a-11-22-33-44-02;
當主機a要與主機b通訊時,位址解析協議可以將主機b的ip位址(192.168.1.2)解析成主機b的mac位址,以下為工作流程:
第1步:根據主機a上的路由表內容,ip確定用於訪問主機b的**ip位址是192.168.1.2。然後a主機在自己的本地arp快取中檢查主機b的匹配mac位址。
第2步:如果主機a在arp快取中沒有找到對映,它將詢問192.168.1.2的硬體位址,從而將arp請求幀廣播到本地網路上的所有主機。源主機a的ip位址和mac位址都包括在arp請求中。本地網路上的每台主機都接收到arp請求並且檢查是否與自己的ip位址匹配。如果主機發現請求的ip位址與自己的ip位址不匹配,它將丟棄arp請求。
第3步:主機b確定arp請求中的ip位址與自己的ip位址匹配,則將主機a的ip位址和mac位址對映新增到本地arp快取中。
第4步:主機b將包含其mac位址的arp回覆訊息直接傳送回主機a。
第5步:當主機a收到從主機b發來的arp回覆訊息時,會用主機b的ip和mac位址對映更新arp快取。本機快取是有生存期的,生存期結束後,將再次重複上面的過程。主機b的mac位址一旦確定,主機a就能向主機b傳送ip通訊了
四、 arp欺騙:
位址解析協議是建立在網路中各個主機互相信任的基礎上的,它的誕生使得網路能夠更加高效的執行,但其本身也存在缺陷:
arp位址轉換表是依賴於計算機中高速緩衝儲存器動態更新的,而高速緩衝儲存器的更新是受到更新週期的限制的,只儲存最近使用的位址的對映關係表項,這使得***者有了可乘之機,可以在高速緩衝儲存器更新表項之前修改位址轉換表,實現***。arp請求為廣播形式傳送的,網路上的主機可以自主傳送arp應答訊息,並且當其他主機收到應答報文時不會檢測該報文的真實性就將其記錄在本地的mac位址轉換表,這樣***者就可以向目標主機傳送偽arp應答報文,從而篡改本地的mac位址表。 arp欺騙可以導致目標計算機與閘道器通訊失敗,更會導致通訊重定向,所有的資料都會通過***者的機器,因此存在極大的安全隱患。
五、基本防禦措施
1.不要把網路安全信任關係建立在ip基礎上或mac基礎上(rarp同樣存在欺騙的問題),理想的關係應該建立在ip+mac基礎上。
2.設定靜態的mac-->ip對應表,不要讓主機重新整理設定好的轉換表。
3.除非很有必要,否則停止使用arp,將arp做為永久條目儲存在對應表中。
4.使用arp伺服器。通過該伺服器查詢自己的arp轉換表來響應其他機器的arp廣播。確保這台arp伺服器不被黑。
5.使用「proxy」**ip的傳輸。
6.使用硬體遮蔽主機。設定好路由,確保ip位址能到達合法的路徑(靜態配置路由arp條目),注意,使用交換集線器和網橋無法阻止arp欺騙。
7.管理員定期用響應的ip包中獲得乙個rarp請求,然後檢查arp響應的真實性。
8.管理員定期輪詢,檢查主機上的arp快取。
9.使用防火牆連續監控網路。注意有使用snmp的情況下,arp的欺騙有可能導致陷阱包丟失。
10.若感染arp病毒,可以通過清空arp快取、指定arp對應關係、新增路由資訊、使用防病毒軟體等方式解決
ARP原理 和防護 Toby Ligtt
arp 基本原理和防護 一 arp 基本原理 位址解析協議,即arp address resolution protocol 是根據ip位址獲取實體地址的乙個tcp ip協議。主機傳送資訊時將包含目標ip位址的arp請求廣播到網路上的所有主機,並接收返回訊息,以此確定目標的實體地址 收到返回訊息後將...
ARP攻擊的原理和分類
1 arp泛洪攻擊 通過向閘道器傳送大量arp報文,導致閘道器無法正常響應。首先傳送大量的arp請求報文,然後又傳送大量虛假的arp響應報文,從而造成閘道器部分的cpu利用率上公升難以響應正常服務請求,而且閘道器還會被錯誤的arp表充滿導致無法更新維護正常arp表,消耗網路頻寬資源。2 arp欺騙主...
arp雙向和單向欺騙原理解析
arp雙向欺騙 開兩台虛擬機器 10.6.1.20 和10.6.1.73 閘道器 10.6.3.254 用10.6.1.20做為攻擊主機,10.6.1.73做為被攻擊主機。用閘道器,被攻擊主機做雙向欺騙。工具怎麼用,不做具體說明。攻擊主機 10.6.1.20 00 e0 4c 02 d6 eb 被攻...