ARP学习及分析.doc

ARP学习及分析 ARP学习及分析 1 1. ARP概述 2 2. ARP具体应用 3 2.1 典型的ARP应用 3 2.2 RARP应用 5 2.3 Gratuitous ARP应用 6 2.4 Proxy ARP应用 6 3. ARP欺骗及攻击原理分析、排查 7 3.1. PC及交换机ARP表项创建及更新机制 7 3.2. 攻击原理分析 8 3.3. 攻击实例分析—攻击PC的网关MAC地址 8 3.4. 攻击实例分析—修改交换机的ARP表项 9 3.5. 攻击实例分析—ARP DOS 9 3.6. Gratuitous ARP报文对主机ARP的影响 10 3.7. 排查ARP病毒的步骤： 11 4. 一些防ARP欺骗软件的原理分析 12 4.1. AntiARPSniffer软件的应用： 12 4.2. DC对ARP欺骗及攻击的防范 13 4.2.1. 阻断非法ARP报文—DHCP Snooping or Free Resource 13 4.2.2. ARP Guard 14 4.2.3. Anti-ARPScan 14 4.3. 友商在ARP欺骗及攻击方面的实现 14 ARP概述 打开浏览器键入域名后，我们就可以打开相应的网页，这是由于DNS服务器将域名解析成对应的IP地址，即其实际是使用IP方式来进行连接的。再深入想一想，IP地址其实是个逻辑定义，IP报文了承载了访问网络如HTTP页面内容的数据，但在PC和网关（可能是路由器、交换机、防火墙、另外一台主机等等）之间在以太网络上传输的是帧，每个帧包括了发送方（源）和接收方（目的）的MAC（Media Access Control）地址，帧是以太网传输的基本方式。以太网络上的每个主机都知道自己的IP地址和MAC，根据上层应用，其能够知道网关或者目标的IP地址，但它又是如何知道目标的MAC？这就是基本的ARP应用。 ARP，全称为Address Resolution Protocol，中文成为地址解析协议，它工作在链路层，下与物理层----硬件接口相联系，上为IP层提供服务。简单地说，ARP协议使得以太网设备将逻辑的目录IP地址转换为能够实际访问的以太网MAC地址。 在PC、路由器、交换机上都维护了ARP表项，该表项描述了目标IP地址和目标MAC的映射关系，不妨在Windows主机上通过arp –a命令可以看到这一映射关系。 可以看到，该PC上目前有2个物理接口下有动态生成的ARP表项。其中接口0x4接口的IP地址为5，其接口下有一条动态生成的ARP表项：目标IP为54，MAC为00-90-0b-03-3b-43。 ARP协议的报文格式 上图黄色部分为以太网帧头，目标MAC----该以太网报文的目标MAC地址，源MAC----该以太网报文的源MAC地址，以太网类型----对于ARP报文，该域恒为0806。 黄色部分以下为ARP报文格式，其各域定义如下： 硬件类型：发送方的硬件接口类型，对于以太网为0x0001 协议类型：发送方的高层协议类型，对于IP协议为0x0800 硬件地址长度：接口硬件地址长度，对于以太网为6 协议地址长度：高层协议地址长度，对于IP协议为4 操作类型：表面ARP报文类型 1- ARP Request，2-ARP Reply，3-RARP请求，4-RARP响应 源MAC地址：发送方MAC地址 源IP地址：发送方IP地址 目标MAC地址：目标方MAC地址 目标IP地址：目标方IP地址 ARP具体应用 ARP协议在网络中的具体应用非常丰富，包括ARP地址解析、RARP----逆向ARP地址解析、Gratuitous ARP----免费ARP、Proxy ARP----代理ARP、Inverse ARP----反向ARP等应用，下面将一一讨论这些应用。 典型的ARP应用 如果同网段主机A需要向目标B发送数据，其ARP流程如下： 首先，所有的主机、交换机、路由器、防火墙等网络设备均有一个ARP缓冲区来维护一个ARP表，该表记录目标IP与目标MAC的映射关系。 当源主机A需要将数据发送给主机B时，主机A首先会检测自己的ARP表项，查看其中是否已经记录有主机B对应的ARP表项，如果有则将数据直接通过以太网帧的方式发送给对应的MAC地址，如果没有，则向本地网段发送一个ARP请求的以太网广播报文，查询目标B IP地址对应的MAC地址。之所以使用广播报文，是要确保该网段上所有主机都能够接收并处理请求报文。 示例如下： 在ARP请求报文中，以太网帧的目标MAC为ff:ff:ff:ff:ff:ff，确保所有主机及网络设备均能接收到此报文；ARP报文内部目标MAC地址为00:00:00:00:00:00，表示目标MAC地址不可知，为空。 网络上所有主机接收到此ARP请求后，会