地址解析協(xié)議ARP
網(wǎng)絡(luò)層四大協(xié)議:ARP協(xié)議睬魂,IP協(xié)議琼掠,ICMP協(xié)議腋腮,IGMP協(xié)議勒虾。
ARP(Address Resolution Protocol)協(xié)議:地址解析協(xié)議:根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議纺阔。
-
工作原理:
- 每個主機設(shè)有一個ARP高速緩存(ARP cache),里面有本局域網(wǎng)上的各主機和路由器的IP地址到硬件地址的映射表修然,這些是該主機目前知道的一些地址笛钝。
- 當主機A需要向主機B發(fā)送ip數(shù)據(jù)報時,在ARP cache上映射表里找目的ip愕宋。
- 如果有玻靡,就獲取對應(yīng)的硬件地址,再把硬件地址寫入MAC幀中贝,然后通過局域網(wǎng)把該MAC幀傳入此目的地址囤捻。
- 如果ARP cache上映射表中沒有目的ip,則可能是主機B才入網(wǎng)邻寿,也可能是主機A剛加電蝎土,緩存還是空的视哑,則執(zhí)行以下步驟。
- 主機A的ARP進程在局域網(wǎng)廣播(目的地址為FF-FF-FF-FF-FF-FF)ARP請求分組誊涯,內(nèi)容是"我的IP是xxx挡毅,硬件地址是xxx,我想知道IP地址為xxx的主機的硬件地址"
- 所有主機ARP進程收到此ARP請求分組
- 局域網(wǎng)內(nèi)所有主機查詢此ARP請求分組內(nèi)的ip,如果與自身ip一致暴构,向主機A發(fā)送ARP響應(yīng)分組跪呈,如果不一致,則忽略(丟棄)
- 主機A在ARP cache上映射表內(nèi)加一項取逾,主機B和硬件地址耗绿。
- 一些特點
- 主機A向主機B發(fā)arp請求分組時,把自己的IP和硬件地址的映射也帶上砾隅,主機B就可以直接往自己的映射表里加A的關(guān)系误阻,就不用重新給A發(fā)ARP請求分組了。
- ARP解決的是同一個局域網(wǎng)上的問題琉用。
- ARP緩存映射表是有生存時間(比如幾分鐘)的堕绩,某條信息過了生存時間就會將信息刪除掉。
-
windows可以用 arp -a 邑时,linux用apr -g查詢ARP緩存映射表中的信息
image.png
-
ARP欺騙
地址解析協(xié)議是建立在網(wǎng)絡(luò)中各個主機互相信任的基礎(chǔ)上的奴紧,它的誕生使得網(wǎng)絡(luò)能夠更加高效的運行,但其本身也存在缺陷:
ARP地址轉(zhuǎn)換表是依賴于計算機中高速緩沖存儲器動態(tài)更新的晶丘,而高速緩沖存儲器的更新是受到更新周期的限制的黍氮,只保存最近使用的地址的映射關(guān)系表項,這使得攻擊者有了可乘之機浅浮,可以在高速緩沖存儲器更新表項之前修改地址轉(zhuǎn)換表沫浆,實現(xiàn)攻擊。ARP請求為廣播形式發(fā)送的滚秩,網(wǎng)絡(luò)上的主機可以自主發(fā)送ARP應(yīng)答消息专执,并且當其他主機收到應(yīng)答報文時不會檢測該報文的真實性就將其記錄在本地的MAC地址轉(zhuǎn)換表,這樣攻擊者就可以向目標主機發(fā)送偽ARP應(yīng)答報文郁油,從而篡改本地的MAC地址表本股。 [5] ARP欺騙可以導(dǎo)致目標計算機與網(wǎng)關(guān)通信失敗,更會導(dǎo)致通信重定向桐腌,所有的數(shù)據(jù)都會通過攻擊者的機器拄显,因此存在極大的安全隱患。
