【其它】王为行主动学习ARP--2011.09.07.docVIP

Page PAGE 3 of NUMPAGES 3 ARP学习笔记 一、ARP的基本信息 ARP称为地址解析协议，是用以实现IP地址和MAC地址之间的解析。在 TCP/IP网络环境下，为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位的MAC地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议，ARP协议作用于网络层和数据链路层。 ARP报文的结构: 硬件类型：以太网1 协议类型：IP协议类型080016 操作：ARP请求为1，应答为2 随意抓取的一个ARP请求报文： 二、ARP欺骗的方式 由于ARP以下几点的机制，导致ARP协议存在很多不足的地方： 1.ARP在发送请求报文时使用广播形式，广播域内的主机也能获取到ARP信息，同时由于大量广播占用带宽，加重网络负担。 2.设备在收到ARP报文后，会进行“无条件”更新，不需要一些附加的认证信息。 3.正确的ARP信息在设备上并不会永久固定，收到ARP的response报文后就会更新自己的arp记录表。 正是基于ARP的这种设计安全因素的欠缺，致使ARP存在安全漏洞。 图一 ARP欺骗的几种分类分析： 欺骗多个PC（使用ARP请求报文） 如上图一所示，假设PC3使用ARP请求报文更新其它PC的ARP记录信息，PC3需要知道其它PC的IP地址。可以逐一列举网段内可能存在的IP地址但易暴露自己。PC可以使用一些方法查找到网段内存在的IP地址，逐一的发送ARP的请求单播报文，这种方法有点就是比较隐蔽，不容易暴露欺骗者。 欺骗多个PC（使用ARP回应报文） 如上图一所示，假设PC3发送一个广播回应报文，告知自己的一个错误的MAC地址，以此更新其它PC的arp记录表项，那么PC3就无法与其它PC通信。 欺骗网关 如上图所示，假设PC1中了ARP病毒，向其它PC发送回应报文，告知192.168.1.254对应的MAC地址是自己，那么其它PC关于网关的ARP表项就会被更新，导致无法访问外网。 几种防护arp欺骗方法的比较 几种常用的ARP防御方法： 静态ARP绑定：在设备上手动静态绑定ARP的记录表项，不让它自动更新。 端口安全：在交换机端口上判断IP和MAC的组合信息，bind时允许通过，block时阻塞。（用于屏蔽某些IP和MAC） DHCP-SNOOPING 端口隔离：在交换机上开启端口隔离，PC之间不能互相访问。 几种方法的比较： 静态ARP绑定：静态ARP绑定从根本上杜绝了ARP欺骗的发生，但当网络内存在多台设备时，这将是一个非常繁琐的工作量。 端口安全:在交换机端口下静态绑定IP和MAC的信息，但是也是耗时耗力。 DHCP-SNOOPING:DHCP自动分配地址后会自动将IP和MAC的对应信息记录成静态表项，节省了不少工作，但是如果内网的PC不是通过DHCP自动获取地址而是手动添加的，这个方法就会失去作用。 端口隔离：端口隔离在交换机的各个端口上使用switchport protected开启端口隔离功能，配置虽然很简单，但是开启了端口隔离功能后PC之间不能互相访问，这回造成一些服务器与PC通信时的麻烦。 根据网络类型和所选设备灵活应用ARP防御措施 几种ARP的防御措施的使用，根据现场网络环境和设备选型，灵活应用。如果局域网内的地址自动获取支持并开启了DHCP功能，使用DHCP-SNOOPING。如果局域网内设备不多，静态绑定ARP和端口安全里静态添加的工作量不大，静态绑定ARP是最优的选择，因为这种方式会更稳定。 实验 实验1：（上图一） 在PC1上ping PC2，用抓包软件抓取ARP包，分析报文格式，查看发送IP、MAC和接收IP、MAC是否正确，熟悉ARP报文结构。 将PC1和PC2的本地ARP缓冲使用ARP –d命令清除，在PC1上使用arp –s命令手动添加错误的PC2ip地址对应的MAC地址静态记录，此时在用两台PC互ping是不通的，因为PC1无法找到PC2真正的MAC地址。 实验2：（图一） 在PC1上发送ARP请求广播报文，发送给任意其它PC，发送的sender ip 为网关地址192.168.1.254，sender MA