ARP协议
2020-01-10 16:01:59来源:博客园 阅读 ()
ARP协议
一台pc A(192.168.1.2),想和另一台pc B(192.168.1.3)通信,pc A对自己所在局域网络内的所有主机,也包括路由器的接口喊(发送ARP查询信息):ip地址是192.168.1.3的pc的mac地址是多少,请告诉我。pc B听到了,告诉pc A我是,并把自己的IP地址和mac地址,一起发送给了pc A。
- ARP协议:Address Resolution Protocol。广播请求,单播更新。
- ARP的作用:通过广播的方式,找出已知的IP地址的主机的mac地址。
- ARP的request和response报文的格式是一样的,用一个标识位去区分是request还response
- ARP发送方报文的目的mac地址是广播地址:FFFFFFFFFFFF(48个bit)。
- ARP接收方,接到发送方的请求报文后,会自动把请求方的ip地址和mac地址加入到自己的mac地址表里,然后用单播的方式,使用ARP报文,给发送方发送自己的mac地址。
ping使用的是icmp协议,这个协议的报文里必须有对方的mac地址,但是当第一次ping一个ip地址时,由于不知道对方的mac地址,所以需要发送一个arp广播,也就是arp协议的报文,到mac为FFFFFFFFFFFF的广播地址。
分析首次ping一个在同一个网络内的ip地址
在ios里第一次ping(R1的f0/0上的ip地址是192.168.1.1/24)一个ip地址的结果如下:
R1#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 40/72/92 ms
发现有1个点4个叹号,第一点就是代表发送的arp广播,从而得知了对方的mac地址,所以后面4次使用icpm协议和对方通信就成功了。第一次是用arp协议和对方通信的,不是用icmp协议通信的。
ping一下,是要跟对方沟通5次,一来一回算1次通信,所以就应该有10次通信。用抓包工具查看ping一下的结果
发现前2次不是ICMP协议通信,前面说过,ping使用的协议是ICMP,前2次为什么不是ICMP呢?因为第一次ping,不知道对方的mac,所以要先用ARP报文,找到对方的mac地址。
ARP的request报文的head:
head里有:
- 目的地的mac地址:12个f,是广播地址。
- 源mac地址:自己接口的mac地址。
- 协议的类型:0x0806(ARP协议)
ARP的request报文的body:
body里有:
- Hardwar type:Ethernet(1)
- Protocol type:ipv4
- hardware size:6
- Opcode:request(1)。这个字段是区分ARP报文是request报文,还是response报文。占2个字节。
- Sender mac addr:源mac
- Sender ip addr:源ip
- Target mac addr:目的mac
- Target ip addr:目的ip
ARP的response报文的head:
Source就是应答方的mac地址
ARP的response报文的body:
Opcode:reply(2)。标识出是应答报文。
执行ping 192.168.1.2前,查看路由器1和2的arp映射表。
在路由器1,执行ping路由器2的一个接口上的IP地址前,路由器1的arp映射表:
R1#show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 192.168.1.1 - cc01.44f0.0000 ARPA FastEthernet0/0
在路由器1,执行ping路由器2的一个接口上的IP地址前,路由器2的arp映射表:
R2#show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 192.168.1.2 - cc02.5574.0000 ARPA FastEthernet0/0
执行ping 192.168.1.2后,查看路由器1和2的arp映射表。
路由器1的arp映射表:
R1#show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 192.168.1.1 - cc01.44f0.0000 ARPA FastEthernet0/0 Internet 192.168.1.2 0 cc02.5574.0000 ARPA FastEthernet0/0
路由器2的arp映射表:
R2#show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 192.168.1.1 0 cc01.44f0.0000 ARPA FastEthernet0/0 Internet 192.168.1.2 - cc02.5574.0000 ARPA FastEthernet0/0
清空arp映射表:
clear arp-cache
路由器上的arp映射表的生命周期大概是4个小时。
分析首次ping一个在不同局网络内的ip地址
ping的主机和自己不在一个局域网,发送的广播它就接收不到,怎么办?
PC也好,路由器也好,当要请求一个目的地的mac和自己,不在同一个广播域下的时候:
- PC:把请求发给网关,Ethernet头部的目的mac是,网关的mac。
- 然后网关会拆开Ethernet头部,看到了ICMP里面的目的IP地址,根据IP地址,看自己能不能到达,能到的话,
- 就封一个新的ICMP协议的Ethernet头部,Ethernet头部里面目的地mac是fffffffffff。ICMP报文里的IP地址是不变的。
- 路由器:把请求发给下一跳,Ethernet头部的目的mac是,下一跳接口的mac。
- 然后路由器会拆开Ethernet头部,看到了ICMP里面的目的IP地址,根据IP地址,看自己能不能到达,能到的话,
- 就封一个新的ICMP协议的Ethernet头部,Ethernet头部里面目的地mac是ffffffffff。ICMP报文里的IP地址是不变的。
代理ARP
当路由器没有指定下一跳,或者PC没有指定网关的时候,就有可能产生代理ARP。
路由器R1,添加了一条静态路由,指定了出接口,但没有指定下一跳
R1#show ip route
C 192.168.1.0/24 is directly connected, FastEthernet0/0
S 192.168.2.0/24 is directly connected, FastEthernet0/0
当ping 192.168.2.1(和自己不在同一个网络),可以ping通,然后查看arp映射表:
R1#show arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.1 - cc01.44f0.0000 ARPA FastEthernet0/0
Internet 192.168.2.1 0 cc02.5574.0000 ARPA FastEthernet0/0
Internet 192.168.1.2 197 cc02.5574.0000 ARPA FastEthernet0/0
发现添加了192.168.2.1条目,但mac不是192.168.2.1的mac,而是出接口R2 f0/0(192.168.1.2)的mac地址。由于只有出接口有能力到达目的地,所以当出接口接到了ARP请求后,就把自己的mac地址,返回给源了,所以源端把返回的mac,加到了自己的arp映射表了,其实这就是ARP欺骗。所以说明,出接口(192.168.1.2)就是代理ARP。
然后,再ping 192.168.2.2(和自己不在同一个网络),可以ping通,然后查看arp映射表:
R1#show arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.2.2 0 cc02.5574.0000 ARPA FastEthernet0/0
Internet 192.168.1.1 - cc01.44f0.0000 ARPA FastEthernet0/0
Internet 192.168.2.1 0 cc02.5574.0000 ARPA FastEthernet0/0
Internet 192.168.1.2 197 cc02.5574.0000 ARPA FastEthernet0/0
发现添加了192.168.2.2条目,但mac不是192.168.2.2的mac,而是出接口R2 f0/0(192.168.1.2)的mac地址。由于只有出接口有能力到达目的地,所以当出接口接到了ARP请求后,就把自己的mac地址,返回给源了,所以源端把返回的mac,加到了自己的arp映射表了,其实这就是ARP欺骗。所以再次说明,出接口(192.168.1.2)就是代理ARP。
所以我们发现了代理ARP的弊端(由于没有指定下一跳而产生的弊端):会产生很多arp条目,占系统的内存,效率降低。
如果指定了下一跳,则arp映射表里,只需要有下一跳的条目就足够了。
接口的代理ARP功能,打开了,在没有下一跳的时候,它就代理了,查看mac映射表,发现ping一个ip地址就多了一个条目,而且条目的mac地址很多都是打开ARP代理功能的接口的mac地址。
由于cisco路由器,接口的代理ARP功能,默认是开启的。
关闭R2的f0/0的ARP代理功能:no ip proxy-arp
后,就无法再ping通了。
R2(config)#int f0/0
R2(config-if)#no ip proxy-arp
ARP后到优先
下图,从R7要访问R11,指定下一跳的话,应该指定到R8的f0/0,这条路径最短。但如果没有指定下一跳,R8的f0/0和R9的f1/0都是代理ARP,都会给R11返回ARP响应,那么R7使用哪个呢?后到ARP响应会覆盖先到的,所以R11有可能使用的是R9给的ARP响应。但R9要多一跳才能到达R11,所以这也是代理ARP的弊端。
ARP攻击
ARP攻击症状:局域网的很多病毒都利用ARP协议攻击(window用arp -a可以查看arp表)。病毒特征是,断网,重启后又可以上网了,一会又断了。
攻击原理:pc A要想连外网必须通过网关,pc A知道网关的ip地址,但是不知道网关的mac地址,所以pc A发广播问局域网内的所有主机,这时有一台主机pc B中了ARP病毒,由于是广播,pc B接到了pc A的问询,这时pc B强先回答pc A(在网关pc A之前),告诉pc A一个不存在的mac地址。pc A拿到了不存在的mac地址,向这个不存在的mac地址发送数据后,交换机就蒙了,发现没有这个mac地址,交换机就不知道该发给谁了,所以交换机就drop这个请求了,所以导致pc A无法上网了。arp表是过一段时间就动态更新的,所以过一段时间又能上网了,如此反复。
ARP欺骗(挂马):和arp攻击类似,上面的pc B强先回答pc A(在网关回答pc A之前),告诉pc A一个假的mac地址,这个mac地址就是pc B自己,pc A接到假的mac地址(pc B的mac地址)后,发送的信息就,直接跑到pc B那里了,这时pc B就能够记录下pc A浏览的网站等私密信息,然后pc B知道网关的mac地址,它把pc A的请求又转发了出去,外面的server收到了pc A信息后,把回复信息发了回来,server的回复信息,网关,网关又转给了pc B,pc B这时就可以在server回的网页上,植入各种病毒,然后把带病毒的网页发给pc A,然后pc A在有病毒的网页上输入了密码后,想把信息发给server,可惜的是:这个密码信息又先到了pc B,黑客就获得了pc A上用户的密码了。
如何解决ARP攻击:双向静态绑定。
pc端静态绑定网关/下一跳的mac地址;网关/路由器静态绑定所以交换机上的pc端的mac地址。
原理:静态的mac地址,优先级高于动态的,所以即便动态得到的mac是错的,发现有静态的绑定,优先使用静态的。
静态绑定mac地址命令:
R4(config)#arp 192.168.1.3 0005.0002.adef arpa R4(config)#do show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 192.168.1.3 - 0005.0002.adef ARPA Internet 192.168.2.1 121 cc05.4bf8.0010 ARPA FastEthernet0/0
静态绑定mac地址命令的帮助:
R4(config)#arp 192.168.1.3 0005.0002.adef ? arpa ARP type ARPA sap ARP type SAP (HP's ARP type) smds ARP type SMDS snap ARP type SNAP (FDDI and TokenRing) srp-a ARP type SRP (side A) srp-b ARP type SRP (side B)
c/c++ 学习互助QQ群:877684253
本人微信:xiaoshitou5854
原文链接:https://www.cnblogs.com/xiaoshiwang/p/12177611.html
如有疑问请与原作者联系
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:cisco 添加静态路由
下一篇:linux--工具参考篇
- Linux下扫描服务器IP地址是否冲突(arp-scan) 2020-01-11
- Linux IO协议栈 2019-11-05
- 基于MQTT协议的云端proxy远程登陆 2019-10-17
- 【Linux服务】vsftpd文件传输协议 2019-10-09
- 共享服务-FTP基础(一) 2018-08-26
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash