1. ARP協議的作用及工作原理
ARP協議是「Address Resolution Protocol」(地址解析協議)的縮寫。在區域網中,網路中實際傳輸的是「幀」,幀裡面是有目標主機的MAC地址的。在乙太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂「地址解析」就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。
ARP(AddressResolutionProtocol)地址解析協議用於將計算機的網路地址(IP地址32位)轉化為物理地址(MAC地址48位)[RFC826]。ARP協議是屬於鏈路層的協議,在乙太網中的數據幀從一個主機到達網內的另一台主機是根據48位的乙太網地址(硬體地址)來確定介面的,而不是根據32位的IP地址。內核(如驅動)必須知道目的端的硬體地址才能發送數據。當然,點對點的連接是不需要ARP協議的。
為了解釋ARP協議的作用,就必須理解數據在網路上的傳輸過程。這里舉一個簡單的PING例子。
假設我們的計算機IP地址是192.168.1.1,要執行這個命令:ping192.168.1.2。該命令會通過ICMP協議發送ICMP數據包。該過程需要經過下面的步驟:
1、應用程序構造數據包,該示例是產生ICMP包,被提交給內核(網路驅動程序);
2、內核檢查是否能夠轉化該IP地址為MAC地址,也就是在本地的ARP緩存中查看IP-MAC對應表;
3、如果存在該IP-MAC對應關系,那麼跳到步驟9;如果不存在該IP-MAC對應關系,那麼接續下面的步驟;
4、內核進行ARP廣播,目的地的MAC地址是FF-FF-FF-FF-FF-FF,ARP命令類型為REQUEST(1),其中包含有自己的MAC地址;
5、當192.168.1.2主機接收到該ARP請求後,就發送一個ARP的REPLY(2)命令,其中包含自己的MAC地址;
6、本地獲得192.168.1.2主機的IP-MAC地址對應關系,並保存到ARP緩存中;
7、內核將把IP轉化為MAC地址,然後封裝在乙太網頭結構中,再把數據發送出去;
使用arp-a命令就可以查看本地的ARP緩存內容,所以,執行一個本地的PING命令後,ARP緩存就會存在一個目的IP的記錄了。當然,如果你的數據包是發送到不同網段的目的地,那麼就一定存在一條網關的IP-MAC地址對應的記錄。
知道了ARP協議的作用,就能夠很清楚地知道,數據包的向外傳輸很依靠ARP協議,當然,也就是依賴ARP緩存。要知道,ARP協議的所有操作都是內核自動完成的,同其他的應用程序沒有任何關系。同時需要注意的是,ARP協議只使用於本網路。
2. 簡述 ARP 協議的原理
系。當源主機需要將一個數據包要發送到目的主機時,會首先檢查自己 ARP列表中是否存在該 IP地址對應的MAC地址,如果有,就直接將數據包發送到這個MAC地址;如果沒有,就向本地網段發起一個ARP請求的廣播包,查詢此目的主機對應的MAC地址。此ARP請求數據包里包括源主機的IP地址、硬體地址、以及目的主機的IP地址。網路中所有的主機收到這個ARP請求後,會檢查數據包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數據包;如果相同,該主機首先將發送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已經存在該IP的信息,則將其覆蓋,然後給源主機發送一個 ARP響應數據包,告訴對方自己是它需要查找的MAC地址;源主機收到這個ARP響應數據包後,將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中,並利用此信息開始數據的傳輸。如果源主機一直沒有收到ARP響應數據包,表示ARP查詢失敗。
3. arp -a的結果,求分析
引用 兔子不是仙啊 http://..com/question/16244807.html的回答。
在命令提示符下,輸入「arp -a」是查看ARP緩存表中的內容
ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網路流通的基礎,而且這個緩存是動態的。
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,當區域網中的某台機器B向A發送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答後,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於區域網的網路流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網路不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙
你這種情況從arp -a 里查不出什麼,更看不出有人限制了你的網速。防火牆提示你的區域網里有ARP病毒,這病毒可能在你區域網的任意一台主機上,不好查也不容易根治。或者有種情況是,現在很多大學寢室中有很多人因為想搶占帶寬,使用ARP欺騙軟體(網路管理軟體),例如使用P2P 終結者等軟體使的別的室友上不了網或者網速很慢。
最好的解決方法就是下載360安全衛士或金山ARP防火牆。開啟裡面的 區域網防護(ARP)保護,這樣會對你的網路有一定保障,不會讓你頻繁的掉線。
360安全衛士開啟方法: 電腦體驗- 木馬防火牆 - 入口防禦 - 區域網防護ARP
金山ARP防火牆使用方法: 參考http://jingyan..com/article/29697b91ca4306ab20de3cd2.html
首先下載安裝金山ARP防火牆。 官方地址:http://kingsoft-arp-firewall.softonic.cn/
如果區域網中出現大量計算機突然無法上網的情況,那麼,就可以打開此程序查看「攔截外部攻擊包數」的數字是否不為0,如果是則表示有攻擊。
在右側的「上次攻擊來源主機」右側可以看到最新攻擊源的計算機名稱、IP與MAC地址。如果想查看是否存在多台感染ARP攻擊的主機,則需切換到如圖所示的「監控曰志」界面,在這里可看到詳細的攻擊源列表。
4. 基於ARP協議的網路安全分析與研究(畢業設計)
[關鍵詞]
ARP協議
ARP病毒
IP地址
隨著計算機技術和Internet技術的不斷推廣應用,
網路逐漸成為人們日常生活中不可缺少的部...
淺談上網行為管理在網路中應用日期:2010-01-29
04:32:38
點擊:8
好評:0
摘要:計算機網路需要一套全面...
www.wsdxs.cn/html/network
5. ARP地址解析協議技術經驗解析
ARP(Address
Resolution
Protocol,地址解析協議)是獲取物理地址的一個TCP/IP協議。某節點的IP地址的ARP請求被廣播到網路上後,這個節點會收到確認
其物理地址的應答,這樣的數據包才能被傳送出去。RARP(逆向ARP)經常在無盤工作站上使用,以獲得它的邏輯IP地址。
地址解析協議(Address
Resolution
Protocol,ARP)是在僅知道主機的IP地址時確
地址解析協議定其物理地址的一種協議。因IPv4和乙太網的廣泛應用,其主要用作將IP地址翻譯為乙太網的MAC地址,但其也能在ATM(
非同步傳輸模式)和FDDIIP(Fiber
Distributed
Data
Interface
光纖分布式數據介面)網路中使用。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網路層(IP層,也就是相當於OSI的第三層)地址解析為數據連接層(MAC層,也就是相當於OSI的第二層)的MAC地址。
1.
什麼是ARP?
ARP
(Address
Resolution
Protocol)
是個地址解析協議。最直白的說法是:在IP-乙太網中,當一個上層協議要發包時,有了節點的IP地址,ARP就能提供該節點的MAC地址。
2.
為什麼要有ARP?
OSI
模式把網路工作分為七層,彼此不直接打交道,只通過介面(layer
interface).
IP地址在第三層,
MAC地址在第二層。協議在發送數據包時,得先封裝第三層(IP地址),第二層(MAC地址)的報頭,
但協議只知道目的節點的IP地址,不知道其MAC地址,又不能跨第二、三層,所以得用ARP的服務。
3.
什麼是ARP
cache?
ARP
cache
是個用來儲存(IP,
MAC)地址的緩沖區。當ARP被詢問一個已知IP地址節點的MAC地址時,先在ARP
cache
查看,若存在,就直接返回MAC地址,若不存在,才發送ARP
request向區域網查詢。
4.
ARP
有什麼命令行?
常用的包括:(格式因操作系統、路由器而異,但作用類似)-
顯示ARP
cache:
show
arp;
arp
-a
-
清除ARP
cache:
arp
-d;clear
arp。
在TCP/IP協議中,A給B發送IP包,在報頭中需要填寫B的IP為目標地址,但這個IP包在乙太網上傳輸的時候,還需要進行一次以太包的封裝,在這個以太包中,目標地址就是B的MAC地址.
計算機A是如何得知B的MAC地址的呢?解決問題的關鍵就在於ARP協議。
在A不知道B的MAC地址的情況下,A就廣播一個ARP請求包,請求包中填有B的IP(192.168.1.2),乙太網中的所有計算機都會接收這個請求,而正常的情況下只有B會給出ARP應答包,包中就填充上了B的MAC地址,並回復給A。
6. ARP攻擊分析及解決方法
怎麼防止DOS攻擊
DoS(Denial Of Service),拒絕服務的縮寫,是指故意攻擊網路協議實現的缺陷或直接通過野蠻手段耗盡被攻擊對象的資源,目的是讓目標計算機或網路無法提供正常的服務,使目標系統停止響應甚至崩潰。這些服務資源包括網路帶寬,文件系統空間容量,開放的進程或者允許的連接。這種攻擊會導致資源的匱乏,無論計算機的處理速度多快、內存容量多大、網路帶寬的速度多快都無法避免這種攻擊帶來的後果。 大多數的DoS攻擊是需要相當大的帶寬的,而以個人為單位的黑客沒有可用的高帶寬資源。為了克服這個缺點,DoS攻擊者開發了分布式的攻擊。攻擊者利用工具集合許多的網路帶寬來同時對同一個目標發動大量的攻擊請求,這就是DDoS(Distributed Denial Of Service)攻擊。可以說DDoS攻擊是由黑客集中控制發動的一組DoS攻擊的集合,這種方式被認為是最有效的攻擊形式,並且非常難以抵擋。 如何防止DoS/DDoS攻擊 各種DoS攻擊軟體都可以很輕松地從Internet上獲得,DoS攻擊給飛速發展的Internet網路安全帶來重大的威脅。然而從某種程度上可以說,DoS攻擊永遠不會消失並且從技術上目前沒有根本的解決辦法。 面對凶多吉少的DoS險灘,我們該如何應付呢?讓我們首先對造成DoS攻擊威脅的技術問題作一下總結。DoS攻擊可以說是如下原因造成的。 1.軟體弱點造成的漏洞。 這包含在操作系統或應用程序中與安全相關的系統缺陷,這些缺陷大多是由於錯誤的程序編制,粗心的源代碼審核,無心的副效應或一些不適當的綁定所造成的。由於使用的軟體幾乎完全依賴於開發商,所以對於由軟體引起的漏洞只能依靠打補丁來彌補。 2.錯誤配置也會成為系統的安全隱患。這些錯誤配置通常發生在硬體裝置、伺服器系統或者應用程序中,大多是由於一些沒經驗、不負責任員工或者錯誤的理論所造成。因此我們必須保證對網路中的路由器、交換機等網路連接設備和伺服器系統都進行正確的配置,這樣才會減小這些錯誤發生的可能性。 3.重復請求導致過載的拒絕服務攻擊。當對資源的重復請求大大超過資源的支持能力時就會造成拒絕服務攻擊。 要避免系統遭受DoS攻擊,從前兩點來看,網路管理員要積極謹慎地維護整個系統,確保無安全隱患和漏洞;而針對第三點的惡意攻擊方式則需要安裝防火牆等安全設備過濾DoS攻擊,同時強烈建議網路管理員定期查看安全設備的日誌,及時發現對系統存在安全威脅的行為。 3Com公司是一個全面的企業網路解決方案提供商,旨在為企業用戶提供「簡單豐富、安全可靠且高性價比」的網路解決方案。Internet支持工具就是其中的主要解決方案之一,包括SuperStack 3 Firewall、Web Cache以及Server Load Balancer。作為安全網關設備的3Com SuperStack 3 防火牆在預設預配置下可探測和防止「拒絕服務」以及「分布式拒絕服務」等黑客侵襲,強有力地保護用戶的網路,免遭未經授權訪問和其他來自Internet的外部威脅和侵襲。而且3Com SuperStack 3 Server Load Balancer在為多伺服器提供硬體線速的4~7層負載均衡的同時,還能保護所有伺服器免受「拒絕服務」攻擊。同樣3Com SuperStack 3 Web Cache不但為企業提供高效的本地緩存,也能保證自身免受「拒絕服務」攻擊。
7. ARP欺騙,分析ARP協議的工作過程,驗證ARP欺騙的可行性,掌握協議分析和實驗驗證的方法。
http://www.cnccie.cn/secure.htm
http://www.cnccie.cn/secure/lab/arpsfood.htm
希望對你有幫助