ARP地址转换表是依赖于计算机中高速缓冲存储器动态更新的,而高速缓冲存储器的更新是受到更新周期的限制的,只保存最近使用的地址的映射关系表项,这使得攻击者有了可乘之机,可以在高速缓冲存储器更新表项之前修改地址转换表,实现攻击。 ARP请求为广播形式发送的,网络上的主机可以自主发送ARP应答消息,并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表,这样攻击者就可以向目标主机发送伪ARP应答报文,从而篡改本地的MAC地址表。 ARP欺骗可以导致目标计算机与网关通信失败,更会导致通信重定向,所有的数据都会通过攻击者的机器,因此存在极大的安全隐患。
在局域网中,当主机或其它三层网络设备有数据要发送给另一台主机或三层网络设备时,需要知道对方的网络层地址(即IP地址)。 arp backstage pass 但是仅有IP地址是不够的,因为IP报文必须封装成帧才能通过物理网络发送,因此发送方还需要知道接收方的物理地址(即MAC地址),这就需要一个通过IP地址获取物理地址的协议,以完成从IP地址到MAC地址的映射。 地址解析协议ARP即可实现将IP地址解析为MAC地址。 同一广播域内的主机Host_2和Host_3都能接收到该ARP请求报文,但只有被请求的主机(即Host_3)会对该ARP请求报文进行处理。 Host_3比较自己的IP地址和ARP请求报文中的目的IP地址,当两者相同时进行如下处理:将ARP请求报文中的源IP地址和源MAC地址(即Host_1的IP地址和MAC地址)存入自己的ARP表中。
arp backstage pass: 查詢與回覆
地址解析协议由互联网工程任务组(IETF)在1982年11月发布的RFC 826中描述制定。 地址解析协议是IPv4中必不可少的协议,而IPv4是使用较为广泛的互联网协议版本(IPv6仍处在部署的初期)。 只有擁有這個 IP 的 host 收到查詢後會回覆,回覆中包含它自己的 MAC Address。 查詢的一方會把這個 MAC Address arp backstage pass 記錄在 ARP Table 之中。 Arp 是一個用來管理系統 arp 紀錄的指令,一般使用者可能不常用到,但是對於網路管理者來說,卻是一個相當基本且常用的指令,例如建立 IP 位址與網路卡 MAC 卡號對應表時,就會用到 arp 指令。 由於是廣播封包,所以 L2 會移除表頭後交給 L3 做處理,PC2 的 ARP 接收後發現目標 IP 並不是找他,故丟棄之。
- 地址解析协议是IPv4中必不可少的协议,但在IPv6中将不再存在地址解析协议。
- 在通过以太网发送IP数据包时,需要先封装第三层(32位IP地址)、第二层(48位MAC地址)的包头,但由于发送时只知道目标IP地址,不知道其MAC地址,又不能跨第二、三层,所以需要使用地址解析协议。
- 如果两台主机处于相同网段但属于不同的VLAN,用户间要进行三层互通,可以在关联了这些VLAN的接口(例如VLANIF接口或者子接口)上使能VLAN间Proxy ARP功能。
- 如果ARP请求是从一个网络的主机发往同一网段但不在同一物理网络上的另一台主机,那么连接这两个网络的设备就可以回答该ARP请求,这个过程称作ARP代理。
- 为使广播量最小,ARP维护IP地址到MAC地址映射的缓存以便将来使用。
静态ARP表项不会被老化,也不会被动态ARP表项覆盖,可以保证网络通信的安全性。 静态ARP表项可以限制本端设备和指定IP地址的对端设备通信时只使用指定的MAC地址,此时攻击报文无法修改本端设备的ARP表中IP地址和MAC地址的映射关系,从而保护了本端设备和对端设备间的正常通信。 ARP(Address Resolution Protocol,地址解析协议)是用来将IP地址解析为MAC地址的协议。
在实际应用中,如果连接设备的主机上没有配置缺省网关地址(即不知道如何到达本网络的中介系统),此时将无法进行数据转发。 IP地址冲突检测:当设备接口的协议状态变为Up时,设备主动对外发送免费ARP报文。 正常情况下不会收到ARP应答,如果收到,则表明本网络中存在与自身IP地址重复的地址。 如果检测到IP地址冲突,设备会周期性的广播发送免费ARP应答报文,直到冲突解除。 ARP 是利用乙太網路的廣播功能所設計出來的位址解析協定,它的主要特性是它的位址對應關係是動態的,以查詢的方式來獲得 I P位址 和實體位址 (MAC Address / Physical Address) 的對應關係。
在这个高速缓存中,存放主机或设备最近学习到的IP地址到MAC地址的映射关系,即动态ARP表项。 如果Switch上使能了VLAN间Proxy arp backstage pass ARP功能,可以使Host_1和Host_2实现三层互通。 Switch的接口在接收到目的地址不是自己的ARP请求报文后,并不立即丢弃该报文,而是查找ARP表项(包括动态学习的ARP表项和静态配置的ARP表项)。 如果存在Host_2的ARP表项,则将自己的MAC地址发送给Host_1,并将Host_1发送给Host_2的报文代为转发。
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。 主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。 ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。 当需要通信的两台主机处于不同网段时,如上图中的Host_1和Host_4,Host_1上已经配置缺省网关,Host_1首先会发送ARP请求报文,请求网关Router的IP地址对应的MAC地址。 Host_1收到ARP应答报文后,将数据报文封装并发给网关,再由网关将数据报文发送给目的主机Host_4。 Host_1学习网关IP地址对应的ARP表项的过程,以及网关设备学习Host_4的IP地址对应的ARP表项的过程与上述同网段主机Host_1和Host_3之间进行ARP地址解析的过程类似,不再赘述。
arp backstage pass: 查詢 ARP 紀錄
一些較舊的文件將ARP置於OSI的資料鏈路層,但是一些新的版本卻將其與網路層聯絡起來。 在對等鏈路中不使用ARP,實際上在對等網路中也不使用MAC位址,因為在此類網路中分別已經取得了對端的IP位址。
地址解析协议以及ICMPv4路由器发现和ICMPv4重定向报文基于广播,而NDP的邻居发现报文基于高效的组播和单播。 當發送主機有一個封包要傳送給目標主機時,並且已獲得目標主機的 IP 位址,那發送主機會先檢查自己的 ARP 表格中有沒有該 IP 位址的實體位址對應。 一方面由于高速缓存的容量限制,另一方面为了保证高速缓存中ARP表项的准确性,设备会对动态ARP表项进行老化和更新。 如果两台主机处于相同网段但属于不同的VLAN,用户间要进行三层互通,可以在关联了这些VLAN的接口(例如VLANIF接口或者子接口)上使能VLAN间Proxy ARP功能。 设置好路由,确保IP地址能到达合法的路径(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
第3步:主机B确定ARP请求中的IP地址与自己的IP地址匹配,则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。 ARP快取表採用老化機制,在一段時間內如果表中的某一行沒有使用,就會被刪除,這樣可減少快取表的長度,加快查詢速度。 當傳送資料時,主機A會在自己的ARP快取表中尋找是否有目標IP位址。 如果找到就知道目標MAC位址為(00-BB C2-02),直接把目標MAC位址寫入影格裡面傳送就可。
arp backstage pass: 封包結構
,设备会发送老化探测报文(即ARP请求报文),如果能收到ARP应答报文,则更新该动态ARP表项,本次老化探测结束;如果超过设置的老化探测次数后仍没有收到ARP应答报文,则删除该动态ARP表项,本次老化探测结束。 如果ARP请求是从一个网络的主机发往同一网段但不在同一物理网络上的另一台主机,那么连接这两个网络的设备就可以回答该ARP请求,这个过程称作ARP代理。 正常情况下网络中设备可以通过ARP协议进行ARP表项的动态学习,生成的动态ARP表项可以被老化,可以被更新。 但是当网络中存在ARP攻击时,设备中动态ARP表项可能会被更新成错误的ARP表项,或者被老化,造成合法用户通信异常。 第5步:当主机A收到从主机B发来的ARP回复消息时,会用主机B的IP和MAC地址映射更新ARP缓存。 本机缓存是有生存期的,生存期结束后,将再次重复上面的过程。
长静态ARP表项:手工建立IP地址和MAC地址之间固定的映射关系,并同时指定该ARP表项所在VLAN和出接口。 该项目在计算机引导过程中将保持有效状态,或者在出现错误时,人工配置的物理地址将自动更新该项目。 arp backstage pass 無回報的ARP可以做更新ARP快取用,網路中的其他主機收到該廣播則在快取中更新條目,收到該廣播的主機無論是否存在與IP位址相關的條目都會強制更新,如果存在舊條目則會將MAC更新為廣播包中的MAC。 用于通告一个新的MAC地址:发送方更换了网卡,MAC地址变化了,为了能够在动态ARP表项老化前通告网络中其他设备,发送方可以发送一个免费ARP。 静态ARP表项是由网络管理员手工建立的IP地址和MAC地址之间固定的映射关系。 静态ARP表项不会被老化,不会被动态ARP表项覆盖。
OSI模型把网络工作分为七层,IP地址在OSI模型的第三层,MAC地址在第二层,彼此不直接打交道。 在通过以太网发送IP数据包时,需要先封装第三层(32位IP地址)、第二层(48位MAC地址)的包头,但由于发送时只知道目标IP地址,不知道其MAC地址,又不能跨第二、三层,所以需要使用地址解析协议。 使用地址解析协议,可根据网络层IP数据包包头中的IP地址信息解析出目标硬件地址(MAC地址)信息,以保证通信的顺利进行。 於是此後傳送主機發往目的主機的所有影格,都將發往該路由器,通過它向外傳送。 這種情況稱為委託ARP或ARP代理(ARP Proxy)。 短静态ARP表项:手工建立IP地址和MAC地址之间固定的映射关系,未同时指定VLAN和出接口。
arp backstage pass: 动态ARP
这时候网络上的RARP服务器就会将发送端的IP地址用RARP Reply封包回应给查询者,这样查询主机就获得自己的IP地址了。 当Host_1需要与Host_2通信时,由于目的IP地址与本机的IP地址为同一网段,因此Host_1以广播形式发送ARP请求报文,请求Host_2的MAC地址。 但是,由于两台主机处于不同的物理网络(不同广播域)中,Host_2无法收到Host_1的ARP请求报文,因此也就无法应答。 如上图中所示,如果每次Host_1和Host_3通信前都要发送一个广播的ARP请求报文,会极大的增加网络负担。 而且同广播域的所有设备都需要接收和处理这个广播的ARP请求报文,也极大的影响了网络中设备的运行效率。 为了解决以上问题,每台主机或设备上都维护着一个高速缓存,这是ARP高效运行的一个关键。
)是一個通過解析網路層位址來找尋資料鏈路層位址的網路傳輸協定,它在IPv4中極其重要。 ARP最初在1982年的RFC826(徵求意見稿)中提出並納入網際網路標準STD 37。 ARP也可能指是在多數作業系統中管理其相關位址的一個行程。 通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。 ARP協定在網際網路協定套件和OSI模型的位置可能會造成混亂和爭議。 在 RFC1122 僅僅在資料鏈路層提及ARP協定當並未說明將此協定置於該層。
arp backstage pass: 刪除 ARP 紀錄
首先,Host_1会查找自己本地缓存的ARP表,确定是否包含Host_3对应的ARP表项。 如果Host_1在ARP表中找到了Host_3对应的MAC地址,则Host_1直接利用ARP表中的MAC地址,对数据报文进行帧封装,并将数据报文发送给Host_3。 如果Host_1在ARP表中找不到Host_3对应的MAC地址,则先缓存该数据报文,并以广播方式发送一个ARP请求报文。 如上图中所示,OP字段为1表示该报文为ARP请求报文,ARP请求报文中的源MAC地址和源IP地址为Host_1的MAC地址和IP地址,目的MAC地址为全0的MAC地址,目的IP地址为Host_3的IP地址。 主机或设备每次发送报文时,会先在本地高速缓存中查找目的IP地址所对应的MAC地址。 如果高速缓存中有对应的MAC地址,主机或设备不会再发送ARP请求报文,而是直接将报文发至这个MAC地址;如果高速缓存中没有对应的MAC地址,主机或设备才会广播发送ARP请求报文,进行ARP地址解析。
在每台安裝有TCP/IP協定的電腦或路由器裡都有一個ARP快取表,表里的IP位址與MAC位址是一對應的,如下表所示。 arp backstage pass PC1 在收到 ARP Request 封包後發現是找自己的,便將 PC0 的 IP 位址及 MAC 位址對應寫到 ARP 表格 裡以及回傳一個 ARP Reply 封包給 PC0。 在VRRP备份组中用来通告主备发生变换:发生主备变换后,MASTER设备会广播发送一个免费ARP报文来通告发生了主备变换。 不要把网络安全信任关系建立在IP基础上或MAC基础上(RARP同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。 目標協定位址(Target Protocol Address,簡稱TPA):m個位元組,m由協定位址長度得到,一般為目標IP位址。 源協定位址(Sender Protocol Address,簡稱SPA):m個位元組,m由協定位址長度得到,一般為傳送方IP位址。
在TCP/IP協定中,傳輸層只關心目標主機的IP位址+埠位址(因為這兩元素唯一的確定一個傳輸層的包要互動的目的地,也即目標主機上的哪個應用程式,比如udp包或者tcp包)。 網路層會對傳輸層的包進行封裝形成ip包,網路層只關心目標機器的IP位址,並根據這個ip位址定址到網路上的目的機器。 因此,同一區域網路中的一台主機要和另一台主機或者交換機,路由器等進行網路通信時,必須要知道與本機用網線連接上的,目標裝置那邊的那個網路介面的MAC位址(也就是網卡的位址)。
arp backstage pass: 協定的分層
静态项目一直保留在缓存中,直到重新启动计算机为止。 位址解析協定的訊息格式很簡單,僅包含單一的位址解析請求或回應。 ARP 訊息的長度取決於上下兩層位址的大小,上層位址由所使用的網路協定類型(通常是 IPv4)決定,下層位址則由上層協定所使用的硬體或虛擬鏈路層的類型決定。 訊息的報頭中包含了這些類型以及對應的位址長度資訊,此外還包含了表示請求(1)和應答(2)的操作碼。 封包的有效負載為收發雙方的硬體位址、協定位址,總計四個位址。
当对端设备MAC地址不变时,可以配置接口以单播模式发送ARP老化探测报文。 收到ARP应答报文后,将该ARP应答报文转发给Host_1。 arp backstage pass Host_1收到ARP应答报文后,将Host_3的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将数据报文进行帧封装,并将数据报文发送给Host_3。 当需要通信的两台主机处于同一网段时,如上图中的Host_1和Host_3,Host_1要向Host_3发送数据。
在乙太網路上,資料的傳遞必須要有實體位址 ,Layer 2 設備會驗證 Frame 的實體位址,不是找它的一律捨棄,但設備一開機總不可能就有所有設備的實體位址吧? 所以就需要 ARP 協定來協助取得各個設備的實體位址。 动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,也可以被静态ARP表项覆盖。 若感染ARP病毒,可以通过清空ARP缓存、指定ARP对应关系、添加路由信息、使用防病毒软件等方式解决。 -a和-g参数的结果是一样的,多年来-g一直是UNIX平台上用来显示ARP缓存中所有项目的选项,而Windows用的是arp -a(-a可被视为all,即全部的意思),但它也可以接受比较传统的-g选项。
主机B的MAC地址一旦确定,主机A就能向主机B发送IP通信了。 设备发送的老化探测报文可以是单播报文,也可以是广播报文。 缺省情况下,设备只在最后一次发送ARP老化探测报文是广播模式,其余均为单播模式发送。
只要是 Layer 3 的設備都一定會有 ARP Cache,並且會在 ARP 快取內建立 ARP 表格 用來記錄 IP 位址和實體位址的對應關係。 這個 Table 會依據自身的存活時間遞減而消失,以確保資料的正確性。 前14字节的内容表示以太网首部,后28字节的内容表示ARP请求或应答报文的内容。 由于在Switch上配置了VLAN内不同接口彼此隔离,因此Host_1和Host_2不能直接在二层互通。 如果两个用户属于相同的VLAN,但VLAN内配置了端口隔离。 此时用户间需要三层互通,可以在关联了VLAN的接口上启动VLAN内Proxy ARP功能。
由香港SEO公司 Featured 提供SEO服務