现在主流的协议是TCP/IP协议族,自底向上分别是数据链路层、网络层、传输层和应用层。每层都有各自的功能,上层协议使用下层协议提供的服务。
数据链路层主要实现了网卡接口的网络驱动程序。两个常用的协议是ARP(地址解析协议)和RARP(逆地址解析)。32位IP-》48位Mac地址。
ARP协议能实现任意网络地址到任意整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过协商这两个主机就可以实现数据传输了。
比如:
1. 要发送网络包给192.168.1.1,但不知MAC地址?
2. 在局域网发出广播包“192.168.1.1的MAC地址是什么?”
3. 其他机器不回应,只有192.168.1.1回应“192.168.1.1的MAC地址是00-aa-00-62-c6-09”
ARP报文:
ARP缓存:
通常,ARP维护一个高速缓存,其中包含经常访问的网关地址或最近访问的机器的IP地址到物理地址的映射,这样就避免了重复的ARP请求,提高了发送数据包的速度。
APR协议是TCP/IP协议中最不安全的一个协议,很容易受到攻击,比如APR欺骗。
ARP欺骗:将ip地址转换为mac地址是ARP的工作,在网络中发送虚假的ARP respones,就是ARP欺骗。
原理:如果A要和C进行通信,而B会带着错误的Mac地址伪装成C的ip地址去访问A,A接受请求会在缓存中修改C的Mac,这样A就访问不到真正的C了,A重复发送会导致网络堵塞。
ARP欺骗造成的后果,错误信件就是错误数据包,当它越来越多时,就会导致网络瘫痪,从而导致主机不能上网,影响企业的正常业务运转。
防范办法:
1、静态绑定
将IP和MAC静态绑定双向绑定,在网内把主机和网关都做IP和MAC绑定,但是比较麻烦。
2、使用防护软件