http://www.it165.net/admin/html/201401/2247.html
一、arp技術概念介紹
為什麼講arp技術,因為平常工作中有接觸。還有就是lvs的dr模式是用到arp的技術和資料。
1、什麼是arp協定
arp協定全程位址解析協定(addressresolution
protocol,arp)是在僅知道主機的ip位址時确定其實體位址的一種協定。因ipv4和以太網的廣泛應用,其主要作用是通過已知ip位址,擷取對應實體位址的一種協定。
2、什麼是arp代理(arp proxy)
在網絡中代理是非常常見的,所謂的代理就是我朝一個人要,另外一個人給。生活中一個比較實際的例子就是,房屋中介。
arp協定要求通信的主機的雙方必須是在實體的同一個網段。那如果發送主機和目标主機不是在同一個區域網路裡,而arp廣播包是不能夠跨越網段進行傳輸的。是以此時就需要一個路由或arp中繼技術來轉發arp請求包。用戶端擷取到的mac位址是路由器或者中繼的mac位址。那麼之後這個用戶端發給目的端的資料,都會先發給這個路由器或arp中繼,再進而轉給目的端,這種情況就稱為arp代理。
3、arp協定工作原理
原理圖:
當主機10.0.0.1要發送資料給10.0.0.2資料,會首先去查本地的arp緩存表,如果有此ip位址和此主機對應的mac位址,如果有就可以直接傳輸資料。如果沒有就主機10.0.0.1就會向區域網路去廣播,詢問誰的ip位址是10.0.0.2.此時在本區域網路中的所有主機都能夠收到此廣播包,但隻有主機10.0.0.2才會回應這個廣播包。會以單點傳播的形式直接回複10.0.0.2說我的mac位址為多少。此時10.0.0.1收到了此資訊,那麼兩者之間就能夠通過mac位址進行通信了。并且将這個arp和ip對應資訊緩存到arp緩存表裡。
arp欺騙工作原理:
arp欺騙就是通過僞造ip位址和mac位址對實作arp欺騙的,它能夠在網絡中産生大量的arp包,來讓網絡堵塞。攻擊主機隻要持續的發送假的arp包,讓網絡中的主機緩存錯誤的ip-mac對應信心,造成網絡中斷或中間人攻擊。
arp攻擊主要是在區域網路中的,因為arp包是不會垮網絡傳播的。是以劃分vlan能夠減少當受到arp攻擊後,網絡受影響的範圍。
arp欺騙過程圖及講解:
arp欺騙防禦辦法
1)進行mac和ip位址進行綁定
2)防毒軟體開啟arp防火牆
arp病毒排查
1)使用arp –a指令檢視本地arp緩存表,檢視重複mac位址或在交換機路由器上檢視重複mac位址。
2)使用arp防禦軟體或檢測軟體(如:科萊,彩影arp防火牆分析流量,查找可以攻擊源)
3)使用折半法排除網絡出錯範圍。(如先斷開一般的網絡檢視是否正常,如果正常就說明斷開的那部分有問題。然後再接上剩下的那一半繼續檢視,依次類推最終找到問題點)
當然排查、預防arp攻擊的方法有很多,大家可以自己尋找。
------------------------------自我後續小結--------------------------------------
arp協定的功能就是能夠通過ip位址解析到mac位址。而arp欺騙的手段就是通過僞造ip-mac資訊,讓網絡上的主機受騙。誤以為攻擊主機就是他們要發送的目标主機(路由器)這樣就将資訊都發給了攻擊者,攻擊者就能擷取網絡其他主機的資料包。而且網絡上的主機會出現網絡中斷等現象。如果攻擊者在網絡上大量的發送arp資訊,也會造成網絡的堵塞。