封装和解封装
封装:
解封装:
一个重要的协议arp
我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议
什么是arp? arp 是哪一层的协议?arp 的作用?什么是arp ***?什么是arp 欺骗?
arp :地址解析协议,在网络层。
作用:将ip地址解析成mac地址
我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度
arp作用的实现主要依赖于arp缓存表,那么arp 缓存表在哪呢?
arp -a 查看主机的arp 缓存表
用“arp -d”命令可以删除ARP表中所有的内容;
用“arp -d +空格+ <指定ip地址>” 可以删除指定ip所在行的内容 用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应,类型为static(静态),此项存在硬盘中,而不是缓存表,计算机重新启动后仍然存在,且遵循静态优于动态的原则,所以这个设置不对,可能导致无法上网
arp的缓存表是存储在网络设备或者计算机的内存中的
arp 缓存表中主要存着ip地址与mac 地址的对应关系,每台装有TCP/IP协议的主机或路由器都有一个arp 缓存表,保存本网络ip地址和MAC 地址的对应关系。
每台计算机的内核都实现了arp协议。它是通过一个高速缓存,把ip映射到对应的MAC,缓存时间300s。
解析过程(在同一网段和不在同一网段)
假设主机A和B在,主机A要向主机B发送信息。具体的地址解析过程如下 (1) 主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。 (2) 如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。 (3) 主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。 (4) 主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。 当主机A和主机B不在时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。
什么是ARP欺骗?
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
解决方法
如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC静态地址绑定,即可确保计算机不再被欺骗***。
(1)arp欺骗是通过arp的动态实时规则欺骗内网机器,所以我们把arp全部设置为静态,可以防止欺骗
(2) 将网关与MAC静态绑定,实现双保险,可在MS-DOS窗口下运行以下命令: arp -s 网关IP 网关MAC。
什么是arp***?
arp***就是通过伪造ip地址和mac地址实现arp欺骗,能够在网络中产生大量的arp通信使网络阻塞,***者只要持续不断地发出伪造arp相应包就能更改目标主机arp 缓存中的ip-mac条目,造成网络中断或中间人***。
arp协议的缺陷?
arp协议是建立在信任局域网内所有节点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管是否是合法的应答,只要收到目标mac是自己的arp reply包或arp广播包,都会接受并缓存。这就是为arp欺骗提供了可能,恶意节点可以发布虚假的arp报文从而影响网内节点的通信。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。