ARP
来源:互联网 发布:模型提取软件 编辑:程序博客网 时间:2024/04/30 00:08
ARP,即地址解析协议,实现通过IP地址得知其物理地址。在TCP/IP网络环境下,每个主机都分配了一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送,必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组协议就是ARP协议。另有电子防翻滚系统也称为ARP。
编辑本段地址解析协议
基本功能
在以太网协议中规定,同一局域网中的一台主机要和另一台主机进行直接通信,必须要知道目标主机的MAC地址。而在TCP/IP协议栈中,网络层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议时,数据链路层的以太网协议接到上层IP协议提供的数据中,只包含目的主机的IP地址。于是需要一种方法,根据目的主机的IP地址,获得其MAC地址。这就是ARP协议要做的事情。所谓地址解析(address resolution)就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 另外,当发送主机和目的主机不在同一个局域网中时,即便知道目的主机的MAC地址,两者也不能直接通信,必须经过路由转发才可以。所以此时,发送主机通过ARP协议获得的将不是目的主机的真实MAC地址,而是一台可以通往局域网外的路由器的某个端口的MAC地址。于是此后发送主机发往目的主机的所有帧,都将发往该路由器,通过它向外发送。这种情况称为ARP代理(ARP Proxy)。工作原理
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。ARP工作原理
数据结构
[1]ARP协议的数据结构: typedef structarphdr { unsignedshortarp_hrd;/*硬件类型*/ unsignedshortarp_pro;/*协议类型*/ unsignedchararp_hln;/*硬件地址长度*/ unsignedchararp_pln;/*协议地址长度*/ unsignedshortarp_op;/*ARP操作类型*/ unsignedchararp_sha[6];/*发送者的硬件地址*/ unsignedlongarp_spa;/*发送者的协议地址*/ unsignedchararp_tha[6];/*目标的硬件地址*/ unsignedlongarp_tpa;/*目标的协议地址*/ }ARPHDR,*PARPHDR;RARP 反向地址转换协议
反向地址转换协议用于一种特殊情况,如果站点被初始化后,只有自己的物理网络地址而没有IP地址,则他可以通过RARP协议,并发出广播请求,征求自己的IP地址,而RARP服务器则没有负责回答。这样无IP的站点可以通过RARP协议取得自己的IP地址,这个地址在下一次系统重新开始以前都有效,不用连续广播请求。RARP广泛用于获取无盘工作站的IP地址。ARP和RARP报头结构
ARP和RARP使用相同的报头结构,如图所示。报送格式
ARP缓存表查看方法
ARP缓存表是可以查看的,也可以添加和修改。在命令提示符下,输入“arp -a”就可以查看ARP缓存表中的内容了,如附图所示。arp -a
编辑本段电子防翻滚系统
ARP英文全称是Anti Rolling Program,即电子防翻滚功能。它通过感知车辆的位置,调节发动机扭矩及各车轮的制动力,从而防止车辆在高速急转弯等紧急状况时发生翻车状况。如雪佛兰科帕奇就标配了此系统。编辑本段ARP欺骗
其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。作为网吧路由器的厂家,对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做,称其为IP-MAC双向绑定。 显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议之后才可用。 arp -a [inet_addr] [-N [if_addr] arp arp -d inet_addr [if_addr] arp -s inet_addr ether_addr [if_addr] 参数 -a 通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr,则只显示指定计算机的 IP 和物理地址。 -g 与 -a 相同。 inet_addr 以加点的十进制标记指定 IP 地址。 -N 显示由 if_addr 指定的网络界面 ARP 项。 if_addr 指定需要修改其地址转换表接口的 IP 地址(如果有的话)。如果不存在,将使用第一个可适用的接口。 -d 删除由 inet_addr 指定的项。 -s 在 ARP 缓存中添加项,将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物理地址由以连字符分隔的6 个十六进制字节给定。使用带点的十进制标记指定 IP 地址。项是永久性的,即在超时到期后项自动从缓存删除。 ether_addr 指定物理地址。编辑本段遭受ARP攻击后现象
ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。 ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。编辑本段常用的维护方法
搜索网上,目前对于ARP攻击防 护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。呵呵,我们来了解下这三种方法。静态绑定
最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。 欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。 方法: 对每台主机进行IP和MAC地址静态绑定。 通过命令,arp -s可以实现 “arp –s IP MAC地址 ”。 例如:“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。 如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示: Internet Address Physical Address Type 192.168.10.1 AA-AA-AA-AA-AA-AA static(静态) 一般不绑定,在动态的情况下: Internet Address Physical Address Type 192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态) 说明:对于网络中有很多主机,500台,1000台...,如果我们这样每一台都去做静态绑定,工作量是非常大的。。。。,这种静态绑定,在电脑每次重起后,都必须重新在绑定,虽然也可以做一个批处理文件,但是还是比较麻烦的! 3.2 使用ARP防护软件 目前关于ARP类的防护软件出的比较多了,大家使用比较常用的ARP工具主要是欣向ARP工具,Antiarp等。它们除了本身来检测出ARP攻击外,防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。 3.2.1 欣向ARP工具 俺使用了该工具,它有5个功能: ? A. IP/MAC清单 选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。 IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描,因为这个表格将作为对之后ARP的参照。 之后的功能都需要这个表格的支持,如果出现提示无法获取IP或MAC时,就说明这里的表格里面没有相应的数据。 ? B. ARP欺骗检测 这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问的机器IP。 (补充)“ARP欺骗记录”表如何理解: “Time”:发现问题时的时间; “sender”:发送欺骗信息的IP或MAC; “Repeat”:欺诈信息发送的次数; “ARP info”:是指发送欺骗信息的具体内容.如下面例子: time sender Repeat ARP info 22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8ARP
Antiarp
这个软件界面比较简单,以下为我收集该软件的使用方法。 A. 填入网关IP地址,点击[获取网关地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址。 B. IP地址冲突 如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。 C. 您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下: 右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。 注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。具有ARP防护功能的路由器
这类路由器以前听说的很少,对于这类路由器中提到的ARP防护功能,其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击,是不能解决的。 ARP的最常见的特征就是掉线,一般情况下不需要处理一定时间内可以回复正常上网,因为ARP欺骗是有老化时间的,过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息,使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),它是不断的发起ARP欺骗包来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。 可能你会有疑问:我们也可以发送比欺骗者更多更快正确的ARP信息啊?如果攻击者每秒发送1000个ARP欺骗包,那我们就每秒发送1500个正确的ARP信息! 面对上面的疑问,我们仔细想想,如果网络拓扑很大,网络中接了很多网络设备和主机,大量的设备都去处理这些广播信息,那网络使用起来好不爽,再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题,我们抓包分析,数据包中也会出现很多这类ARP广播包,对分析也会造成一定的影响。编辑本段中国科学院资源规划项目
ARP项目是实现中国科学院科学的资源规划的信息系统工程,ARP即“中国科学院资源规划项目”(Academia Resource Planning,简称:ARP)。 “ARP项目是带有科研活动特殊性质的电子政务,在科研活动管理中综合运用先进的信息技术和管理理念,建设符合院发展战略的新一代管理信息系统”(江绵恒副院长语),是中国科学院“十五”信息化建设的重大项目之一,是在知识创新工程试点中进一步推动管理创新、不断提升管理水平和效率的重大举措。 ARP项目从中国科学院院所两级治理结构出发,以科技计划与执行管理为核心,综合运用创新的管理理念和先进的信息技术,对全院人力、资金、科研基础条件等资源配置及相关管理流程进行整合与优化,构建有效的管理服务信息技术平台。 ARP理念源自于ERP。ERP的基本思想是将企业流程看作是一个紧密连接的供应链,其中包括供应商、制造工厂、分销网络和客户等。通过对供应链上所有环节进行有效的管理,加速企业的信息流程,提高反应速度,改善决策品质,提高企业管理效能。ERP系统是整合了企业管理理念、业务流程、基础数据、人力物力、计算机硬件和软件于一体的企业资源管理系统。 ARP借鉴ERP的思想,对中科院的科研管理活动及其相关的各种资源进行综合管理。ARP基于网络化的信息平台,应用成熟、智能的信息技术,以科研管理为核心全面整合、优化贯穿整个科研活动的人力资源、财务、物资、科研项目等的管理流程,为科研管理者提供计划、运行、监控、决策、检查评价等综合服务的支持平台,从而增强资源调控能力和使用效率,合理地配置资源,提高和改善科学研究管理工作的效率和效果,最终充分发挥中科院综合优势,提升中科院综合管理水平和综合竞争实力。 从科技创新活动规律出发,引进现代企业先进的管理理念和方法,建立现代科技创新活动管理体系,正是中国科学院体制和管理创新的目标之一。ARP项目既然是借鉴ERP系统提出来的,就要参照ERP的理念和思路,提升到ARP的角度来考虑,加强顶层设计,明确总体需求,真正做出中国科学院的ARP系统。 ARP项目的终极目标,就是如何在院内及合作伙伴范围内利用一切可利用的资源,实现自身价值的最大化。通过ARP项目的实施,进一步推进中国科学院管理创新,不断提升管理工作水平和效率,促进科技创新和人才培养效益的最大化。- “ARP”在英汉词典中的解释(来源:百度词典):
- ARPabbr.1. =Address Resolution Protocol 【电脑】ARP协定(定义如何将实体地址转换成逻辑地址之协定)2. =Active Recording Program 【电脑】活动记录程序
- ARP
- ARP
- ARP
- ARP
- ARP
- ARP
- ARP
- arp
- arp
- ARP
- ARP
- ARP
- ARP
- ARP
- ARP
- ARP
- arp
- ARP
- ajax(jquery)+ struts 搭建
- iPad2缺少的4.5个特性
- DataSource清空
- linux下,如何查看mysql的版本
- 常用 Xcode 配色(Theme)介绍
- ARP
- 常用 Xcode 配色(Theme)介绍
- Flex学习笔记1------页面布局
- SQL Server到Oracle连接服务器的实现
- sql中window方式和账户方式登录
- tomcat连接池的配置
- 获取domain的value range
- arm-linux-strip is not reliable
- Android Battery 分析