ARP的原理和预防ARP攻击 ARP(Address Revolution Protocol)是地址解析协议,负责将IP地址转换为相应的物理地址析。由于在TCP/IP环境下,每个主机都分配了互联网地址在网际范围标识主机的逻辑地址即32位的ip地址,但为了使报文从物理链路上传输到目的主机的MAC地址,就产生了ARP协议。 ARP的工作原理: 注:每台主机都会在自己的ARP缓冲区建立一个ARP列表,反映了IP地址和MAC地址的对应关系。 1,当源主机需要将一个数据包发送到目标主机时,会首先检查自己的ARP列表是否存在该目标主机IP地址和MAC地址的对应关系,如果有则直接发送到目标主机;如果没有则向该网段发ARP请求包(包括源主机的IP地址,MAC地址以及目的主机的IP地址),问此目的主机对应的MAC是多少(广播包)。 2,该网段中的所有主机收到该ARP请求后,会检查数据包中的IP地址是否与自己的IP地址一致。如果不一致,则忽略此请求,如果一致,首先目的主机将源主机的IP地址和MAC地址的对应关系写到自己的ARP列表中,如果目标主机的ARP表中已经有此信息,则将原来的覆盖,并向源主机发送ARP响应数据包(非广播包),告诉源主机所要的IP地址对应的MAC地址。 3,源主机收到这个ARP响应数据包后,将目的主机IP地址和MAC地址的对应关系写入自己的ARP列表中,以此 进行数据的传输;如果源主机收不到目标主机发送的ARP响应数据包,则表示ARP查询失败。 总的ARP的传输模式为:请求――>响应――>请求――>响应 预防ARP攻击: ARP欺骗: 第一种ARP欺骗的原理是――截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是――伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。 预防方法:1,对每台主机进行IP和MAC地址静态绑定。 (过于繁琐,不适用于具有大量的计算机的环境) arp -s可以实现 “arp �Cs IP MAC地址 ”静态绑定;利用arp -a查看 2,安装ARP防火墙(这个非常好用,360中的ARP防火墙就是不错的选择)
本文出自 “网络之行” 博客,请务必保留此出处http://taibai.blog.51cto.com/635093/211338