ARP協議(Address Resolution Protocol,地址解析協議)是一個位於TCP/IP協議棧中的低層協議,負責將某個IP地址解析成對應的MAC地址.
在局域網中,網絡中實際傳輸的是"幀",幀裏面是有目標主機的MAC地址的。當一個基於TCP/IP的應用程序需要從一臺主機發送數據給另一臺主機時,它把信息分割並封裝成包,附上目的主機的IP地址。但是以太網設備並不識別32位IP地址,它們是以48位以太網地址傳輸以太網數據包。因此,必須把IP目的地址轉換成以太網目的地址。
如何實現IP目的地址轉換成以太網目的地址呢?地址解析協議(ARP)就是用於實現這一目的。通過發送ARP廣播消息,尋找IP地址到實際MAC地址的映射.當ARP找到了目的主機MAC地址後,就可以形成待發送幀的完整以太網幀頭。最後,協議棧將IP包封裝到以太網幀中進行傳送。
簡單地說,ARP協議主要負責將局域網中的32位IP地址轉換爲對應的48位物理地址,即網卡的MAC地址,比如IP地址爲192.168.0.1網卡MAC地址爲00-03-92-D0-A7-2B。首先主機向目標主機發送包含IP地址信息的廣播數據包,即ARP請求,然後目標主機向該主機發送一個含有IP地址和MAC地址數據包,通過MAC地址兩個主機就可以實現數據傳輸了。
什麼是arp緩存表?
在以太局域網內數據包傳輸依靠的是MAC地址,IP地址與MAC對應的關係依靠ARP表,每臺安裝有TCP/IP協議的主機(包括網關)都有一個ARP緩存表。該表中保存這網絡中各個電腦的IP地址和MAC地址的對照關係。
在正常情況下arp緩存表能夠有效的保證數據傳輸的一對一性。但是ARP協議對應的ARP緩存表維護機制中存在不完善的地方,當主機收到一個ARP的應答包後,它並不驗證自己是否發送過這個ARP請求,而是直接將應答包裏的MAC地址與IP對應的關係替換掉原有的ARP緩存表裏的相應信息。這就是導致arp欺騙的根本原因。
如何查看ARP緩存表?
在Windows下查看ARP緩存信息是通過DOS命令來完成的,點擊"開始"菜單,選擇"命令",輸入 cmd 即可進入命令提示符窗口。
在命令提示符窗口中鍵入 arp -a 可以查看ARP緩存中的內容。
在命令提示符窗口中鍵入 arp -d <IP地址> 或 arp -d 可以刪除指定IP或全部的ARP緩存記錄。
怎麼建立靜態的ARP緩存表?
對每臺主機進行IP和MAC地址靜態綁定是防止ARP欺騙的最根本辦法。
通過命令,arp -s可以實現 "arp –s IP MAC地址"。
例如:"arp –s 192.168.0.1 CC-CC-AA-AA-BB-BB"。
如果設置成功會在PC上面通過執行 arp -a 可以看到相關的提示:
Internet Address Physical Address Type
192.168.0.1 CC-CC-AA-AA-BB-BB static(靜態)
一般不綁定,在動態的情況下:
Internet Address Physical Address Type
192.168.10.1 CC-CC-AA-AA-BB-BB dynamic(動態)
Windows下arp緩存間隔多久進行刷新?
ARP緩存表中的數據可以是動態的(基於ARP應答),也可以是靜態的。靜態 ARP 緩存條目是永久性的。
ARP緩存表對於動態數據採用了老化機制,存在與之相關的超時值。在超過指定的時間後,將從緩存中刪除它們。Windows的動態ARP緩存條目不超過10分鐘就會被刪除(起始時間從某個ARP緩存條目被創建時開始算起)。
在以太局域網內數據包傳輸依靠的是MAC地址,IP地址與MAC對應的關係依靠ARP表,每臺安裝有TCP/IP協議的主機(包括網關)都有一個ARP緩存表。該表中保存這網絡中各個電腦的IP地址和MAC地址的對照關係。
在正常情況下arp緩存表能夠有效的保證數據傳輸的一對一性。但是ARP協議對應的ARP緩存表維護機制中存在不完善的地方,當主機收到一個ARP的應答包後,它並不驗證自己是否發送過這個ARP請求,而是直接將應答包裏的MAC地址與IP對應的關係替換掉原有的ARP緩存表裏的相應信息。這就是導致arp欺騙的根本原因。
如何查看ARP緩存表?
在Windows下查看ARP緩存信息是通過DOS命令來完成的,點擊"開始"菜單,選擇"命令",輸入 cmd 即可進入命令提示符窗口。
在命令提示符窗口中鍵入 arp -a 可以查看ARP緩存中的內容。
在命令提示符窗口中鍵入 arp -d <IP地址> 或 arp -d 可以刪除指定IP或全部的ARP緩存記錄。
怎麼建立靜態的ARP緩存表?
對每臺主機進行IP和MAC地址靜態綁定是防止ARP欺騙的最根本辦法。
通過命令,arp -s可以實現 "arp –s IP MAC地址"。
例如:"arp –s 192.168.0.1 CC-CC-AA-AA-BB-BB"。
如果設置成功會在PC上面通過執行 arp -a 可以看到相關的提示:
Internet Address Physical Address Type
192.168.0.1 CC-CC-AA-AA-BB-BB static(靜態)
一般不綁定,在動態的情況下:
Internet Address Physical Address Type
192.168.10.1 CC-CC-AA-AA-BB-BB dynamic(動態)
Windows下arp緩存間隔多久進行刷新?
ARP緩存表中的數據可以是動態的(基於ARP應答),也可以是靜態的。靜態 ARP 緩存條目是永久性的。
ARP緩存表對於動態數據採用了老化機制,存在與之相關的超時值。在超過指定的時間後,將從緩存中刪除它們。Windows的動態ARP緩存條目不超過10分鐘就會被刪除(起始時間從某個ARP緩存條目被創建時開始算起)。
什麼是ARP欺騙,它的目的又是什麼?
我們知道在以太局域網內數據包傳輸依靠的是MAC地址,IP地址與MAC對應的關係依靠ARP表,每臺主機(包括網關)都有一個ARP緩存表。在正常情況下這個arp緩存表能夠有效的保證數據傳輸的一對一性。
在ARP緩存表的實現機制中存在一個不完善的地方,當主機收到一個ARP的應答包後,它並驗證自己是否發送過這個ARP請求,而是直接將應答包裏的MAC地址與IP對應的關係替換掉原有的ARP緩存表裏的相應信息。
將ip地址轉換爲mac地址是ARP的工作,在網絡中發送虛假的ARP respones,就是ARP欺騙。
ARP欺騙根據欺騙的中間對象不同可分爲二種:
1>對路由器ARP表的欺騙
欺騙的原理: 通知路由器一系列錯誤的內網MAC地址,並按照一定的頻率不斷進行,使真實的IP-MAC地址信息無法更新保存在路由器中,結果路由器的所有數據只能發送給錯誤的MAC地址,造成正常PC無法收到信息。
2>對局域網內PC的網關欺騙
欺騙的原理: 建立假網關,給局域網中的PC發送ARP的應答包,讓PC認爲網關已經改到了新的IP(假網關)上了,讓被它欺騙的PC向假網關發數據,而不是通過正常的網關上網。局域網內的PC就是上不了網了。
根據ARP欺騙的原理,要防止ARP欺騙必須阻止計算機和路由器的ARP緩存表被非法篡改。
防止ARP欺騙的主要方法:
1>主機靜態綁定網關MAC
使用arp命令靜態綁定網關MAC,下面的批處理並加入計算機的啓動項中就可完成。
ARP-d
ARP-s 網關IP 網關MAC
優點: 簡單易行,普通用戶都能操作
缺點: 只能單向綁定。需要跟網關綁定MAC結合使用。這種方法只能在計算機啓動時實施一次MAC地址綁定,效果可能有限。
2>網關對PC使用IP+MAC綁定
網關的交換機啓用靜態ARP綁定功能,將PC用戶的IP與MAC進行靜態綁定,防止ARP欺騙發生。
優點:效果明顯
缺點:操作複雜,工作量比較大。無法保證PC端不被欺騙,需要與PC端綁定網關MAC結合使用。
3>使用ARP服務器
在局域網內架設ARP服務器,替代主機應答ARP包。
優點:效果明顯
缺點:配置複雜,需要改變客戶端設置。成本高,需要大量的服務器。
4>使用防ARP攻擊的軟件
下載和使用防ARP攻擊的軟件,如Ani ARP Sniffer、360ARP防火牆等,這類軟件的防範原理是自動檢測實時防篡改的MAC地址綁定。
優點:簡單易行
缺點:需要用戶端都安裝,無法保證網關不被欺騙。
目前最爲有效的法是MAC地址雙向綁定。即路由器上綁定客戶機IP-MAC地址對照信息,客戶機上綁定路由器IP-MAC地址對照信息。
我們知道在以太局域網內數據包傳輸依靠的是MAC地址,IP地址與MAC對應的關係依靠ARP表,每臺主機(包括網關)都有一個ARP緩存表。在正常情況下這個arp緩存表能夠有效的保證數據傳輸的一對一性。
在ARP緩存表的實現機制中存在一個不完善的地方,當主機收到一個ARP的應答包後,它並驗證自己是否發送過這個ARP請求,而是直接將應答包裏的MAC地址與IP對應的關係替換掉原有的ARP緩存表裏的相應信息。
將ip地址轉換爲mac地址是ARP的工作,在網絡中發送虛假的ARP respones,就是ARP欺騙。
ARP欺騙根據欺騙的中間對象不同可分爲二種:
1>對路由器ARP表的欺騙
欺騙的原理: 通知路由器一系列錯誤的內網MAC地址,並按照一定的頻率不斷進行,使真實的IP-MAC地址信息無法更新保存在路由器中,結果路由器的所有數據只能發送給錯誤的MAC地址,造成正常PC無法收到信息。
2>對局域網內PC的網關欺騙
欺騙的原理: 建立假網關,給局域網中的PC發送ARP的應答包,讓PC認爲網關已經改到了新的IP(假網關)上了,讓被它欺騙的PC向假網關發數據,而不是通過正常的網關上網。局域網內的PC就是上不了網了。
根據ARP欺騙的原理,要防止ARP欺騙必須阻止計算機和路由器的ARP緩存表被非法篡改。
防止ARP欺騙的主要方法:
1>主機靜態綁定網關MAC
使用arp命令靜態綁定網關MAC,下面的批處理並加入計算機的啓動項中就可完成。
ARP-d
ARP-s 網關IP 網關MAC
優點: 簡單易行,普通用戶都能操作
缺點: 只能單向綁定。需要跟網關綁定MAC結合使用。這種方法只能在計算機啓動時實施一次MAC地址綁定,效果可能有限。
2>網關對PC使用IP+MAC綁定
網關的交換機啓用靜態ARP綁定功能,將PC用戶的IP與MAC進行靜態綁定,防止ARP欺騙發生。
優點:效果明顯
缺點:操作複雜,工作量比較大。無法保證PC端不被欺騙,需要與PC端綁定網關MAC結合使用。
3>使用ARP服務器
在局域網內架設ARP服務器,替代主機應答ARP包。
優點:效果明顯
缺點:配置複雜,需要改變客戶端設置。成本高,需要大量的服務器。
4>使用防ARP攻擊的軟件
下載和使用防ARP攻擊的軟件,如Ani ARP Sniffer、360ARP防火牆等,這類軟件的防範原理是自動檢測實時防篡改的MAC地址綁定。
優點:簡單易行
缺點:需要用戶端都安裝,無法保證網關不被欺騙。
目前最爲有效的法是MAC地址雙向綁定。即路由器上綁定客戶機IP-MAC地址對照信息,客戶機上綁定路由器IP-MAC地址對照信息。
ARP請求風暴
如果您的網絡時斷時續,如果你的網絡打開網頁非常緩慢,如果你的網絡常常IP衝突,那很有可能是ARP病毒在對網絡進行ARP攻擊和欺騙。
ARP病毒分爲ARP欺騙和ARP風暴兩種,其中ARP欺騙主要是假冒別人IP地址進行ARP應答或者請求,從而達到修改別人ARP緩存表項的目的。
本文主要介紹一下ARP請求風暴
什麼是ARP請求風暴(ARP掃描)?
ARP請求風暴是指在網絡中出現大量ARP請求廣播包,幾乎都是對網段內的所有主機進行掃描。大量的ARP請求廣播幾乎完全佔用網絡帶寬資源,導致某些設備(比如網關)忙於處理這些ARP數據而正常ARP數據不能得到處理,ARP請求風暴一般爲ARP攻擊的前奏。
ARP請求風暴的通訊模式通常是:
請求 -> 請求 -> 請求 -> 請求 -> 請求 -> 請求 -> 應答 -> 請求 -> 請求 -> 請求...
不間斷連續的大量ARP請求
ARP請求風暴出現的可能原因:
*病毒程序,偵聽程序,掃描程序。
*如果網絡分析軟件部署正確,可能是我們只鏡像了交換機上的部分端口,所以大量ARP請求是來自與非鏡像口連接的其它主機發出的。
*由於網絡部署不當,來自和交換機相連的其它主機的ARP請求廣播包。
ARP請求風暴的後果:
當整個網段出現大範圍發ARP廣播風暴(挨個IP輪詢MAC),ARP請求佔用大量的帶寬,將造成網絡很不穩定甚至癱瘓。
ARP病毒分爲ARP欺騙和ARP風暴兩種,其中ARP欺騙主要是假冒別人IP地址進行ARP應答或者請求,從而達到修改別人ARP緩存表項的目的。
本文主要介紹一下ARP請求風暴
什麼是ARP請求風暴(ARP掃描)?
ARP請求風暴是指在網絡中出現大量ARP請求廣播包,幾乎都是對網段內的所有主機進行掃描。大量的ARP請求廣播幾乎完全佔用網絡帶寬資源,導致某些設備(比如網關)忙於處理這些ARP數據而正常ARP數據不能得到處理,ARP請求風暴一般爲ARP攻擊的前奏。
ARP請求風暴的通訊模式通常是:
請求 -> 請求 -> 請求 -> 請求 -> 請求 -> 請求 -> 應答 -> 請求 -> 請求 -> 請求...
不間斷連續的大量ARP請求
ARP請求風暴出現的可能原因:
*病毒程序,偵聽程序,掃描程序。
*如果網絡分析軟件部署正確,可能是我們只鏡像了交換機上的部分端口,所以大量ARP請求是來自與非鏡像口連接的其它主機發出的。
*由於網絡部署不當,來自和交換機相連的其它主機的ARP請求廣播包。
ARP請求風暴的後果:
當整個網段出現大範圍發ARP廣播風暴(挨個IP輪詢MAC),ARP請求佔用大量的帶寬,將造成網絡很不穩定甚至癱瘓。