ARP协议
介绍
ARP地址解析协议
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取MAC地址的一种TCP/IP协议。在主机和主机之间的通讯物理上,其实就相当于是网卡和网卡之间的通讯,而网卡之间的通讯又只认识MAC地址,所以要想实现主机与主机之间的通信,需要知道对方的IP的地址所对饮的MAC地址,完成这一过程的协议就是ARP协议。
原理
每台主机或路由器都有一个ARP缓存表,用来保存IP地址和MAC地址的对应关系
举个例子,A主机(192.168.1.5)向主机B(192.168.1.1)发送数据。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了MAC地址。然后把它写进发送帧即可
而如果从缓存表中没有找到,那么主机就会在网络上发送一个广播 arp Request,请求包中包含了主机A的IP地址和Mac地址。网络上其他主机并不会响应,只有主机B在接收到A的请求包的时候会以单播方式向A主机做出回应,并且带上自己的ip和mac地址。
同时,B主机会把A主机的IP地址和MAC地址缓存进自己的ARP缓存中,此后A再向B发送数据,就可以直接从缓存表中获取B的地址。
ARP表中设置有生存时间TTL,在一段时间内,如果表中的某一行没有使用,就会被删除,这样可以缩短ARP表的长度,同时提高搜索的速度
补充
ARP攻击
ARP欺骗的运作原理是由攻击者发送的假的ARP数据包到网络上,尤其是送到网关上。目的是要让送至特定的IP地址的流量被错误的送到了攻击者所取代的地方。因此攻击者可以将这些流量另行转送到真正的网关(被动式数据包嗅探)或篡改后再转回去(中间人攻击)或把ARP数据包导到不存在的MAC地址以达到阻断服务器的攻击效果
image
正常情况下,A主机想主机B发送一份数据,而如果攻击者想窃取这份数据那么要怎么做呢?
-
首先发送一个伪造主机B的ARP包到主机A告诉主机A,主机B的MAC地址是攻击者自身的MAC地址,这样主机A就会更新自己的ARP缓存表,把B的Ip地址更新成攻击者的MAC地址
-
同样的对B主机进行相同的操作。
-
之后当主机A还是像往常一样给B发送数据,这个时候主机A首先会从本地的ARP缓存表获取MAC地址,但是此时的MAC地址其实是攻击者的MAC地址,所以数据会先发给攻击者,攻击者可以篡改数据包的内容或者别的操作。这也就完成了ARP攻击
ARP防御
从攻击原理就可以看出来,实现ARP防御关键在于主机信任了伪造的ARP包并且更新了本地路由表。
-
最简单的方式,就是使用静态路由表。但是弊端就是如果局域网中主机数量多的时候静态表会很繁杂。
-
动态ARP检测DAI(利用交换机,路由器实现)
交换机会记录每个对外连接端口对应的IP地址,以及MAC地址,生成DAI检测表
交换机在接收到ARP包的时候会检测一下你链接的端口绑定的IP地址和MAC地址,如果发现和DAI中绑定的不一致,则回丢弃或者执行相应惩罚
RARP协议
反向地址转换协议,就是将局域网中的某个主机的Mac地址转成IP地址
Mac地址
采用十六进制数标识,共6个字节(48位)。其中前三个字节由IEEE注册管理机构RA负责给厂家分配,后三位是由各厂家自行指派给生成的适配器。
本地路由表
image
数据包结构
image
参考文章:
https://juejin.im/post/6844903506948653070
https://juejin.im/post/6844903506571165703
https://juejin.im/post/6844903878698205191
网友评论