まず、2つの比較テストを実行します。
ファイアウォールルート@ルート]#ARP -a
?00(192.168.100.83):15:58:A2:13:D0はeth0に[エーテル]
?(192.168.100.81)00:15:C5:E1:D1:58 [エーテル]はeth0に
15:C5:E1:D1:58 [ルート@ファイアウォールビン]#ARP -s 192.168.100.81 00
[ルート@ファイアウォールビン]#ARP -a
?00(192.168.100.83):15:58:A2:13:D0はeth0に[エーテル]
?(192.168.100.81)00:15:C5:E1:D1:eth0の上に58 [エーテル] PERM
ノー見つかりましたか?PERM以上!
或者
[ルート@ファイアウォールビン]#猫の/ proc /ネット/ ARPの
IPアドレスHWtypeフラグHWaddressマスクデバイス
192.168.100.83の0x1のの0x2の00:15:58:A2:13:D0の*のeth0
192.168.100.81の0x1のを0x6に00:15:C5 :E1:D1:58 * eth0の
[ルート@ファイアウォールビン]#ARP -s 192.168.100.83 00:15:58:A2:13:D0
[ルート@ファイアウォールビン]#猫の/ proc /ネット/ ARP
IPアドレスHWタイプフラグHWアドレスマスクデバイス
192.168.100.83の0x1のを0x6に00:15:58:A2:13:D0の*のeth0
192.168.100.81の0x1のを0x6に00:15:C5:E1:D1:58 * eth0の
ノー見つかりましたか?変更フラグ!
だから我々は、2つの方法で静的バインディングアドレスをarpを見つけることができます:
#arp -a | grepのパーマや
#cat / procの/ネット/ ARP | グレップの0x6に
しかし、私は後者がより高速であることを示唆しています。
静的ARPコントロールの使用
IPのための基本的なプロトコルは、物理アドレスへのアドレスとして我々は知っている、ARP(アドレス解決プロトコル、アドレス解決プロトコル)が使用されています。イーサネットでは、IPへのすべてのアクセスは、最終的にはネットワークカードのMACアドレスへのアクセスに変換します。
ただ、間違ったMACアドレスに送信されますパケットからBに送信され、ホストAのARPテーブル場合、ホストBのIPアドレスとMACアドレスが間違っている、想像し、もちろん、成功したBに到達できない、結果はそしてBは通信できません。Linuxは、ARP arpコマンド、MACへ即ち、変換IPを変換することによって制御することができます。これにより、ユーザは、MACアドレスマッチング機能を使用することができます。ここでは、使用arpコマンドを見てみましょう。
このように、現在の変換レコードが表示されます、すべてのARPをarpを入力し
、アドレスhwtype HWAddressフラグがifaceをマスク
06:29:57:16:F5 C eth0をwww.baidu.comエーテル00
218.200.80.177エーテル00:01:30:F4を:32:40 C eth1の
192.168.100.25エーテル00:02:1E:フロリダ州:92:C2 Cのeth0
従って、現在のシステムは、IPアドレスと1つに対応するMACアドレスを予約し、そしてハードウェアのタイプを示すことが分かる(hwtype)そして通信(IFACE)に使用するインターフェース。しかし、これらは動的に手動の介入なしに、生成されます。私たちは、まさにこのプロセスは手動の介入で行う必要があります。
私たちは、arpコマンドを使用する必要があるもう一つの重要な特徴は、手動での対応を変更することです。また、コマンドは、デフォルトのファイルは/ etc /エーテルである、テキストファイルのARPレコードを読み取ることができます。言い換えれば、とき入力ARP-F、システムは、/ etc /エーテルファイルを読み込み、ARPレコードの現在のシステムを置き換えるためにプロジェクトの一つであるだろう。の/ etc /エーテルファイルを仮定し、次のように読み取ります。
192.168.100.25 00:02:01:50
:BB:53は、コマンドを実行してARP -f
:この時点で、我々はシステムのARPテーブルを表示し、元のと新しいが置き換えられますされているもののMACアドレス192.168.100.25両方あります
www.baidu.comエーテル00:06:29:57:16:F5 C eth0の
218.200をエーテル00 .80.177:01:30:F4:32:40 C eth1の
192.168.100.25エーテル00:02:01:50:BB:53は、Cはeth0である
192.168.100.25この場合には、宛先によってマシン宛のデータパケットのMACアドレス元の00:02:1E:F1: 92:C2が02:01:50:00に変更 53:BB :01:50:02:カードが00でない場合にMACアドレスが192.168.100.25である場合、明らか BB:53 、パケットが正しい宛先に到達することはできません、そして、彼らはそう不正使用者を特定するという目標を達成し、通信しません。
もちろん、MAC制御方法は、スイッチを識別するために、ユーザインタフェース管理機能を使用して、例えば、それ以上に対処します。直接あなたがポートカードに接続されたすべてのMACアドレスを含むデータベースを維持する必要があり、対応するポートにデータを送信されたスイッチの原理によると、各ポートで使用される理論的な制御MACアドレスが実現可能であることを示しています。このよう3ComののSuperStackシリーズなど、ほとんどのハイエンドスイッチは、この能力を持っています。スイッチモデルに関連する具体的な動作は、ここではそれらを繰り返さないでください。
最後に、リマインダー、MACアドレス制御は万全ではありません。いわゆるセキュリティは、特定の環境に対する相対的なものであるとして、この世界のように絶対的アンタイドパスワードはありません。今、多くのカードはソフトウェアへのMACアドレスの変更をサポートし、LinuxとWindows自体が物理アドレスを変更する方法があります。しかし、このように相対的な安定性のために面倒なクライアント設定を排除し、ユーザーに対して完全に透過するだけでなく、強力な運用を持って、安全な方法でそう。
ARPを表示および変更するLinuxのarpコマンドを(ARP)は、アドレス変換テーブル"IP物理的に"使用。
ARPは-sのinet_addr eth_addr [if_addrの】
ARPは、[if_addrの]のinet_addr -d
ARPの-a [のinet_addr] [if_addrの-N]を[-V]
-g -aと同じです。
-v冗長モードで、現在のARPエントリを表示します。ループバックインターフェイス上のすべての無効なエントリとエントリが表示されます。
指定されたインターネットアドレス(IPアドレス)のinet_addr。
指定if_addr表示ネットワークインターフェイスARPエントリif_addr -N。
-dのinet_addr指定されたホストを削除します。inet_addrは、すべてのホストを削除するには、ワイルドカード*かもしれません。
-sは、関連のinet_addrホストとインターネットアドレスと物理アドレスeth_addrを追加します。物理アドレスは、ハイフン6進数のバイトによって分離されています。これは恒久的です。
eth_addrは、物理アドレスを指定しました。
if_addr存在する場合、このアドレス変換テーブルは、インターフェイスのインターネットアドレスを指定するように変更する必要があります。ない場合は、最初の該当インタフェースが使用されています。
静的なエントリを追加します。これは後に、特にLANのARPウイルスで、便利である
56:19:123.253.68.209 00 -s#のARP 6F:87:D2
#arpコマンド-a .... ARPテーブルを表示します。
/ VI#の/ etc /エーテルによって:Ubuntuの@ルート
00 211.144.68.254:12である:D9:32:BF:44であり
、その後のような次のコマンドに書き込ま
ARP -fの/ etc /エーテル
再起動結合がまだ有効である後を確保するために、あなたは、上記のコマンドは/ etc /エーテルを記述する必要があります
ARPテーブル内に見つからない場合は、」ターゲットIPアドレス「ARPテーブルエントリは、LAN伝送へのARPブロードキャストパケットであります( "宛先MACアドレスフィールド" == FF:FF:FF: FF:FF:FF)、 ローカルマシンには、(ターゲットマシンのMACアドレスを含む)ARP応答パケットを対象とします