济南做平台网站的,安徽服饰网站建设,调用wordpress数据库id,网上推广用什么平台推广最好文章目录 一、ARP 协议1. ARP 数据包格式2. ARP 工作过程3. ARP 缓存4. ARP 请求5. ARP 响应6. ARP 代理7. ARP 探测IP冲突8. ARP 协议抓包分析9. ARP 断网攻击10. 总结 一、ARP 协议
ARP#xff08;Address Resolution Protocol#xff09;协议工作在网络层和数据链路层之间… 文章目录 一、ARP 协议1. ARP 数据包格式2. ARP 工作过程3. ARP 缓存4. ARP 请求5. ARP 响应6. ARP 代理7. ARP 探测IP冲突8. ARP 协议抓包分析9. ARP 断网攻击10. 总结 一、ARP 协议
ARPAddress Resolution Protocol协议工作在网络层和数据链路层之间通常被认为是一个跨两层的协议。
当网络设备有数据要发送给另一台网络设备时必须要知道对方的网络层地址即IP地址。IP地址由网络层来提供但是仅有IP地址是不够的IP数据报文必须封装成帧才能通过数据链路进行发送。数据帧必须要包含目的MAC地址因此发送端还必须获取到目的MAC地址。通过目的IP地址来获取目的MAC地址的过程是由ARPAddress Resolution Protocol协议来实现的。 1. ARP 数据包格式 说明
Hardware Type表示硬件地址类型一般为MAC地址。它的值为1表示以太网地址。Protocol Type表示三层协议地址类型一般为IP。它的值为0x0800即表示IP地址。它的值与包含IP数据报的以太网数据帧中的类型字段的值相同。Hardware Length和Protocol Length表示MAC地址和IP地址的长度单位是字节。值分别是6和4。(6 * 8484 * 8 32)Operation Code指定了ARP报文的类型包括ARP Request和ARP Reply。1为ARP请求2为ARP应答Source Hardware Address指的是发送ARP报文的设备MAC地址源MAC地址Source Protocol Address指的是发送ARP报文的设备IP地址源IP地址。Destination Hardware Address指的是接收者MAC地址在ARP Request报文中该字段值为0目的MAC地址。Destination Protocol Address指的是接收者的IP地址目的MAC地址。
ARP Request 请求包 ARP请求是广播包并且数据包长度不够的话会补齐最小长度是46但是正常的ARP只有28所以会使用PAD字段进行补齐。 ARP Reply 响应包 ARP响应是单播 2. ARP 工作过程 通过ARP协议建立目的IP地址和MAC地址的映射。通过网络层获取目的IP地址还要判断目的MAC地址是否已知。如在主机A发送数据给主机C时首先获取主机C的MAC地址。同时主机B是看不到主机A和主机C之间的单播包的。
3. ARP 缓存 存放IP地址和MAC地址关联信息
发送信息前查找ARP缓存表存在对方MAC地址直接封装成帧。如果不存在通过发送 ARP Request报文获取对方MAC地址。如果目标在其他网络源设备会先查找网关MAC地址将数据发给网关再转发。IP和MAC关系映射关系会放入ARP缓存表一段时间有效期内都可查到过了这个有效期会自动删除。
Windows查看ARP缓存表
arp -a清空ARP表
arp -d4. ARP 请求 主机A 的 ARP 缓存表中不存在主机C 的 MAC 地址所以主机A 会发送 ARP Request 来获取目的 MAC 地址。
ARP Request 报文封装在以太帧里。帧头中的源MAC地址为发送端主机A 的 MAC 地址。
此时由于主机A不知道主机C 的 MAC 地址所以目的 MAC 地址为广播地址 FF-FF-FF-FF-FF-FF。注意目的 MAC 地址FF-FF…是帧头部中的目的 MAC 地址00-00…是 ARP 请求包中里的内容。
ARP Request 报文中包含源 IP 地址、目的 IP 地址、源 MAC 地址、目的 MAC 地址其中目的 MAC 地址的值为0。
ARP Request 报文会在整个网络上传播广播该网络中所有主机包括网关都会接收到此 ARP Request 报文。所有设备收到 ARP 请求后主机C 检查请求中的目标 IP 地址是否与自己的 IP 地址匹配。如果匹配主机C 会发送一个ARP 响应给主机 A单播。主机A 接收到主机C 的 ARP 响应后会将主机C 的 IP 地址和 MAC 地址的映射关系存储在自己的 ARP 缓存表中以便将来的通信中使用。
网关将会阻止该报文发送到其他网络上。
5. ARP 响应 主机C会向主机A回应ARP Reply报文。ARP Reply报文中的源协议地址是主机C自己的IP地址目标协议地址是主机A的IP地址目的MAC地址是主机A的MAC地址源MAC地址是自己的MAC地址同时Operation Code被设置为ReplyOperation Code指定了ARP报文的类型包括ARP Request和ARP Reply。。ARP Reply报文通过单播传送。
这样主机A就可以拿到主机C的mac地址从而封装报文进行数据发送。
ARP请求
帧头的目的MAC用广播形式进行发送ARP请求包中的目的MAC值为0操作类型为Request。同时网关会阻止该报文发送到其他网络。所有主机收到后会检查IP地址是否匹配不匹配则不响应匹配后主机C把源MCA和IP地址将记录到自己ARP缓存表中。发送ARP Reply进行响应。
ARP响应
向主机A发送的ARP Reply报文源地址和源MAC都是主机C的地址操作类型为Reply以单播形式传送。主机A收到Reply报文后检查MAC地址是否匹配然后将源MAC和源IP地址记录主机A的ARP缓存表中。
6. ARP 代理
在某些情况下网络中可能会存在ARP代理。ARP代理是一种允许一个设备代理代表其他设备进行ARP请求和响应的网络配置模式。当一个设备需要发送数据到另一个子网或者在本地网络上没有直接连接的目标主机时它可以将ARP请求发送给代理设备。 说明 同一网段不同物理网络上的计算机之间通过ARP代理进行相互通信默认所有的路由器是不开起ARP代理的。因为路由器无法转发广播报文主机B收不到ARP Request报文也无法进行应答。 路由开启代理ARP功能后路由器收到ARP Request报文后会先去查找路由表如果存在主机B的路由表那么路由器会把自己的G0/0/0接口作为MAC地址回应主机A。主机A通过该MAC地址进行数据转发。 主机A 在子网A 中发送一个ARP请求用来寻找子网B 中的主机B 。路由器R 作为ARP代理收到了ARP请求这个时候路由器R 会先去查找路由表发现没有主机B 路由表。然后会在子网B中发送一个ARP请求寻找主机B的MAC地址。主机B在收到ARP请求后发送ARP响应其中响应包中包含了主机B的MAC地址。而路由器收到主机B的ARP响应后会把自己的G0/0/0接口MAC地址信息返回给主机A完成ARP代理的全部过程。
ARP协议的一个特性是“后到优先”
在某些网络环境中使用ARP代理可以允许多个设备对同一个IP地址进行ARP请求和响应。当多个设备同时发送ARP请求时代理设备会收到多个ARP请求并根据其自身的优先级规则进行处理。具体而言在ARP代理中后到的ARP请求会覆盖先前的ARP请求从而实现后到优先的特性。这意味着如果有多个设备对同一个IP地址发送ARP请求只有最后一个到达的设备的ARP响应会被接受并记录在ARP缓存中。其他先前的ARP响应将被忽略。因此后到的设备将成为该IP地址的代理并负责处理与该IP地址相关的数据包。 在配置路由的时候如果只写出接口的话就会存在ARP代理的“后到优先”。
上图中R2先进行了ARP回复那么路由器R1作为ARP代理会记录的是R2路由器的MAC地址。如果路由器R3在之后回复路由器R1那么后到的会覆盖先前回复的。
7. ARP 探测IP冲突
当局域网中的某台主机被分配了IP地址或者IP地址发生变更后必须立刻检测其所分配的IP地址在网络上是否是唯一的以避免地址冲突。主机通过发送ARP Request报文来进行地址冲突检测。
如下主机A将ARP Request广播报文中的目的IP地址字段设置为自己的IP地址且该网络中所有主机包括网关都会接收到此报文。当目的IP地址已经被某一个主机或网关使用时该主机或网关就会回应ARP Reply报文。通过这种方式主机A就能探测到IP地址冲突了。 8. ARP 协议抓包分析
开启虚拟机该虚拟机的网卡设置为桥接。 真实机开始 ping 虚拟机的 IP 地址。 同时Wireshark抓包 9. ARP 断网攻击
ARP欺骗原理
在局域网中主机通信前必须通过ARP协议把IP地址转换为MAC地址ARP欺骗就是通过伪造IP地址与MAC地址的映射关系实现的一种欺骗攻击。因为局域网内的主机根据MAC地址进行通信发送方检查其ARP缓存中是否已存储目标IP的MAC地址否则它会广播发送ARP请求报文只有目标IP的主机才会响应一个包含其MAC地址的ARP应答报文发送方收到该应答后立即更新自身的ARP缓存。攻击者可以发送虚假的ARP请求或应答报文使得目标主机接收错误的IP和MAC绑定关系。 流程pc1想与pc2通信时先在arp缓存表arp -a中查看pc210.9.136.55的mac地址若没有则会发送广播包”谁是10.9.136.55“给交换机交换机给每个端口都会广播发送一个请求包”谁是10.9.136.55“正常来说只有pc2会收到这个请求包然后会发送一个应答包“我是10.9.136.55我的mac地址是mac2”发送给交换机交换机会发送给pc1因为是pc2应答pc1的应答包pc1接收到应答包后会更新自己的arp缓存表。
arp缓存表中存入了大量的IP地址与MAC地址的映射。 ipconfig /all # 查看网关接口arp -a #mac地址缓存表ip地址与mac地址映射表找到网关的MAC地址。 现在通过网关访问百度必然要和路由器进行通信。局域网里面的通信会先去arp缓存表中查找有没有网关对应的MAC地址。
本来和网关是不能通信的现在通过ARP广播找到了网关的IP地址和MAC地址映射到ARP缓存表中。
攻击者可以发送虚假的ARP请求或应答报文使得目标主机接收错误的IP和MAC绑定关系。那么发送给百度的数据就不再走网关了而是到攻击者那里。如果攻击者拦截数据包不进行转发的话本机就会断网。
攻击实验
win7中的网关是192.168.188.2 对应网关的MAC地址 然后开始ping百度这个时候可以一直ping 通过kali发起ARP断网攻击开启终端输入命令如下
arpspoof -i etho -t 192.168.188.130 -r 192.168.188.2说明 arpspoof是一款进行arp欺骗的工具攻击者可以通过它来毒化受害者arp缓存将网关mac替换为攻击者mac然后攻击者可截获受害者发送和收到的数据包可获取受害者账户、密码等相关敏感信息。 -i指定要使用的接口即指定一块网卡。 etho这个网卡和网关属于同一网段的。 -t是要攻击的IP地址这里是Win7的IP地址。 -r是网关的IP地址。 发起攻击 发起攻击后Win7已经不能和百度进行通信了 检查Win7的ARP缓存表 之前网关对应的MAC地址是00-5a-56-ee-91-e6而现在对应的是00-0c-29-70-2e-59。而这个00-0c-29-70-2e-59MAC地址正是Kali的MAC地址。
预防措施
客户端静态绑定网关的真实MAC地址。在交换机和路由器上设置端口与MAC地址的静态绑定。定期检测自身的ARP缓存检测是否有MAC地址相同的不同表项即可发现异常。使用防火墙持续监控ARP缓存检测异常变化。
10. 总结 网络设备在什么情况下发送ARP Request 源设备在发送数据给目的设备前会首先查看自身的ARP缓存查找ARP缓存中是否存在目的设备的IP地址和MAC地址的映射。如果存在则直接使用如果不存在则会发送ARP Request。 网络设备什么时候产生免费ARP 当网络上的一个设备被分配了IP地址或者IP地址发生变更后可以通过免费ARP来检查IP地址是否冲突。
