ARP :地址解析协议
- ARP的意义 :通过对端的IP或MAC地址来获取对端的另一个地址
- 基于广播,通过对端IP来获取对端MAC地址(通过不存在的MAC全F,强制交换机进行广播,从而找到目标)。
三种ARP
| 正向ARP | 已知对端IP地址,通过二层广播来获取对端MAC地址 |
|---|---|
| 反向ARP | 已知对端MAC地址来求对端IP |
| 无故ARP | 地址冲突检测,设备在刚使用一个IP地址,向外进行正向ARP,被请求IP地址为自己的IP地址。网络中有人应答则说明IP地址冲突。 |
ARP工作流程
- 本地发送ARP请求,该请求中目标MAC为全F,目的是逼迫交换机洪泛
- 交换机收到后,会将该流量洪泛
- 目标主机收到后,先将ARP请求报文中的源IP地址和源MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文,其中包含了自己的MAC地址、
- 非目标主机收到后,丢弃该流量
ARP攻击(ARP投毒)
原理:
- 利用ARP缓存机制存在的缺陷:
- 就是当请求主机收到ARP应答包后,不会去验证自己之前是否向对方发送过ARP请求包,就直接把返回包中的IP与MAC对应的关系保存在ARP缓存表中,如果原有相同的IP对应关系,原有的就会被替换。
- 在请求发出后若有多应答,电脑会相信最后一次ARP应答中的MAC;若进行冒充,只需要将自己的MAC延迟传过去,则冒充成功。
危害:
-
局域网之间主机通信会受影响
-
如果是网关欺骗,上网也受影响
-
黑客利用ARP欺骗可以窃取用户敏感信息、挂木马等。
防范:
-
1、主机绑定网关MAC与IP地址为静态,在网关绑定主机MAC与IP地址;
-
2、使用ARP防火墙。
ARP请求报文
ARP应答报文
