1、什么是ARP協(xié)議

ARP協(xié)議全程地址解析協(xié)議(AddressResolution Protocol,ARP)是在僅知道主機(jī)的IP地址時確定其物理地址的一種協(xié)議。因IPv4和以太網(wǎng)的廣泛應(yīng)用,其主要作用是通過已知IP地址,獲取對應(yīng)物理地址的一種協(xié)議。

2、什么是ARP代理(ARP proxy)

在網(wǎng)絡(luò)中代理是非常常見的,所謂的代理就是我朝一個人要,另外一個人給。生活中一個比較實際的例子就是,房屋中介。

Arp協(xié)議要求通信的主機(jī)的雙方必須是在物理的同一個網(wǎng)段。那如果發(fā)送主機(jī)和目標(biāo)主機(jī)不是在同一個局域網(wǎng)里,而ARP廣播包是不能夠跨越網(wǎng)段進(jìn)行傳輸?shù)?。所以此時就需要一個路由或ARP中繼技術(shù)來轉(zhuǎn)發(fā)ARP請求包??蛻舳双@取到的mac地址是路由器或者中繼的MAC地址。那么之后這個客戶端發(fā)給目的端的數(shù)據(jù),都會先發(fā)給這個路由器或ARP中繼,再進(jìn)而轉(zhuǎn)給目的端,這種情況就稱為ARP代理。

3、arp協(xié)議工作原理

原理圖:

當(dāng)主機(jī)10.0.0.1要發(fā)送數(shù)據(jù)給10.0.0.2數(shù)據(jù),會首先去查本地的arp緩存表,如果有此IP地址和此主機(jī)對應(yīng)的MAC地址,如果有就可以直接傳輸數(shù)據(jù)。如果沒有就主機(jī)10.0.0.1就會向局域網(wǎng)去廣播,詢問誰的IP地址是10.0.0.2.此時在本局域網(wǎng)中的所有主機(jī)都能夠收到此廣播包,但只有主機(jī)10.0.0.2才會回應(yīng)這個廣播包。會以單播的形式直接回復(fù)10.0.0.2說我的MAC地址為多少。此時10.0.0.1收到了此信息,那么兩者之間就能夠通過MAC地址進(jìn)行通信了。并且將這個ARP和IP對應(yīng)信息緩存到ARP緩存表里。

4、ARP欺騙工作原理:

ARP欺騙就是通過偽造IP地址和MAC地址對實現(xiàn)ARP欺騙的,它能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP包,來讓網(wǎng)絡(luò)堵塞。攻擊主機(jī)只要持續(xù)的發(fā)送假的ARP包,讓網(wǎng)絡(luò)中的主機(jī)緩存錯誤的IP-MAC對應(yīng)信心,造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是在局域網(wǎng)中的,因為ARP包是不會垮網(wǎng)絡(luò)傳播的。所以劃分VLAN能夠減少當(dāng)受到ARP攻擊后,網(wǎng)絡(luò)受影響的范圍。

ARP欺騙過程圖及講解:

ARP欺騙防御辦法

1)進(jìn)行MAC和IP地址進(jìn)行綁定

2)殺毒軟件開啟arp防火墻

ARP病毒排查

1)使用arp ?a命令查看本地arp緩存表,查看重復(fù)MAC地址或在交換機(jī)路由器上查看重復(fù)MAC地址。

2)使用ARP防御軟件或檢測軟件(如:科萊,彩影arp防火墻分析流量,查找可以攻擊源)

3)使用折半法排除網(wǎng)絡(luò)出錯范圍。(如先斷開一般的網(wǎng)絡(luò)查看是否正常,如果正常就說明斷開的那部分有問題。然后再接上剩下的那一半繼續(xù)查看,依次類推最終找到問題點)

當(dāng)然排查、預(yù)防ARP攻擊的方法有很多,大家可以自己尋找。

1.《arp協(xié)議 一篇文章告訴你,什么是ARP協(xié)議與ARP欺騙》援引自互聯(lián)網(wǎng),旨在傳遞更多網(wǎng)絡(luò)信息知識,僅代表作者本人觀點,與本網(wǎng)站無關(guān),侵刪請聯(lián)系頁腳下方聯(lián)系方式。

2.《arp協(xié)議 一篇文章告訴你,什么是ARP協(xié)議與ARP欺騙》僅供讀者參考,本網(wǎng)站未對該內(nèi)容進(jìn)行證實,對其原創(chuàng)性、真實性、完整性、及時性不作任何保證。

3.文章轉(zhuǎn)載時請保留本站內(nèi)容來源地址,http://f99ss.com/keji/346076.html