ARP学习心得.pptxVIP

ARP协议学习分享 Internet e-commerce 第三组：梁昊羿 content ARP概述 ARP工作原理 ARP欺骗及防范 其他类型的ARP ARP概述 ARP（Address Resolution Protocol），即地址解析协议，由互联网工程任务组（IETF）在1982年11月发布的RFC 826中描述制定，是根据IP地址获取物理地址的一个TCP/IP协议。 主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。 1 ARP简介 2 ARP分组格式 硬件类型: （以太网：1） 协议类型： （IP地址0x0800） 要映射的协议地址的类型，值与以太网帧头的中设计type字段设计相同的值 硬件地址长度： （6字节） 协议地址长度：（4字节） 操作类型： 表明四种操作类型 （ARP请求：1；ARP应答：2；RARP请求：3；RARP应答：4） ARP缓存是个用来储存IP地址和MAC地址的缓冲区，其本质就是一个IP地址--MAC地址的对应表，表中每一个条目分别记录了网络上其他主机的IP地址和对应的MAC地址。每一个以太网或令牌环网络适配器都有自己单独的表。当地址解析协议被询问一个已知IP地址节点的MAC地址时，先在ARP缓存中查看，若存在，就直接返回与之对应的MAC地址，若不存在，才发送ARP请求向局域网查询。 3 ARP缓存表 ①arp -a或arp –g 用于查看缓存中的所有项目。-a和-g参数的结果是一样的，多年来-g一直是UNIX平台上用来显示ARP缓存中所有项目的选项，而Windows用的是arp -a（-a可被视为all，即全部的意思），但它也可以接受比较传统的-g选项。 ②arp -a Ip 如果有多个网卡，那么使用arp -a加上接口的IP地址，就可以只显示与该接口相关的ARP缓存项目。 ③arp -s Ip 物理地址 可以向ARP缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。 ④arp -d Ip 使用该命令能够人工删除一个静态项目。 4 ARP常用命令 ARP工作原理 ARP工作原理 第1步：根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。 第2步：如果主机A在ARP缓存中没有找到映射，它将询问192.168.1.2的硬件地址，从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。 ARP工作原理 第3步：主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。 第4步：主机B将包含其MAC地址的ARP回复消息直接发送回主机A。 第5步：当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的，生存期结束后，将再次重复上面的过程。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了。 ARP欺骗及防范 什么是ARP欺骗 地址解析协议是建立在网络中各个主机互相信任的基础上的，它的诞生使得网络能够更加高效的运行，但其本身也存在缺陷： ARP地址转换表是依赖于计算机中高速缓冲存储器动态更新的，而高速缓冲存储器的更新是受到更新周期的限制的，只保存最近使用的地址的映射关系表项，这使得攻击者有了可乘之机，可以在高速缓冲存储器更新表项之前修改地址转换表，实现攻击。 什么是ARP欺骗 ARP欺骗根据欺骗对象的不同可以分为三类。 1.只欺骗受害主机。 2.只欺骗路由器、网关。 3.双向欺骗。 ARP欺骗根据手段的不同可以分为两类 1.人为ARP欺骗 2.通过病毒进行的ARP欺骗 利用ARP欺骗伪造网关 攻击者冒用网关的MAC地址与IP地址向主机发送ARP请求，使主机进行错误的ARP缓存更新；或假冒网关回复主机的ARP，使主机获得错误的ARP映射信息。 造成主机无法与网关通信，或者将原本发往网关的信息发送给了攻击者。 利用ARP欺骗顶替主机 攻击者冒用网关的MAC地址与IP地址向网关发送ARP请求，使网关进行错误的ARP缓存更新；或假冒主机回复网关的ARP，使网关wanggua获