ARP(address resolution protocol)是用来将一个IP地址映射到正确的MAC地址,ARP表项可以分为动态个静态两种类型。动态ARP是利用ARP广播报文,动态执行并自动进行IP地址到以太网MAC地址的解析。静态ARP是建立IP地址和MAC地址之间固定的映射关系,不能动态的调整此映射关系。
配置PC1-PC3的IP以及AR1的g0/0/1和g0/0/2的IP,并在AR1上ping对方的IP,再运行dis arp all,就可以看到动态生成的ARP条目,如果一端时间没有更新,就会从表中删除。
AR1 g0/0/1:10.1.1.254 255.255.255.0
AR1 g0/0/2:10.1.2.254 255.255.255.0
PC1:10.1.1.1 255.255.255.0
PC2:10.1.1.2 255.255.255.0
PC3:10.1.2.3 255.255.255.0
攻击者发送伪造的ARP报文,主机或者网关会把错误的映射更新到ARP表中,主机要发送数据到目的IP地址时,从ARP表中得到不正确的MAC地址,并用之封装数据帧,导致数据帧无法正确发送。
在AR1上添加一条静态的错误ARP,arp static 10.1.1.1 5489-98CF-2803,即IP与MAC地址映射错误,ping测试的发现PC1与AR1无法通信。
对PC1端口抓包,ping命令就是ICMP包,目的MAC地址被封装成错误的MAC地址。
面对ARP欺骗,可以通过配置静态ARP来实现,但工作量较大。
图示路由器将网络分割为两个独立的广播域,PC1/PC2与PC3之间不能进行通信,不能知道对方的MAC第地址,开启ARP代理实现,但是返回的是网关AR1接口的MC地址。如果IP网络过大,广播对网络的影响也相应增大,在网络中透明的加入一台路由器,靠路由器分割出多个广播域,降低了广播对网络的影响。但是引入额外的路由器而延迟增大,并存在瓶颈问题。
网友评论