一、什么是arp
1. 什么是arp
地址解析協(xié)議(Address Resolution Protocol),其基本功能為透過目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的mac地址,以保證通信的順利進(jìn)行。它是IPv4中網(wǎng)絡(luò)層必不可少的協(xié)議,不過在IPv6中已不再適用,并被鄰居發(fā)現(xiàn)協(xié)議(NDP)所替代。
說白了,就是把通過ip地址找到設(shè)備mac地址。
2. arp有什么作用
在計(jì)算機(jī)間通信的時(shí)候,計(jì)算機(jī)要知道目的計(jì)算機(jī)是誰(就像我們?nèi)私涣饕粯樱缹Ψ绞钦l),這中間需要涉及到MAC地址,而MAC是真正的電腦的唯一標(biāo)識符。
為什么需要ARP協(xié)議呢?因?yàn)樵贠SI七層模型中,對數(shù)據(jù)從上到下進(jìn)行封裝發(fā)送出去,然后對數(shù)據(jù)從下到上解包接收,但是上層(網(wǎng)絡(luò)層)關(guān)心的IP地址,下層關(guān)心的是MAC地址,這個(gè)時(shí)候就需要映射IP和MAC,通過ip地址找到mac地址。
二、arp命令的使用
arp的命令一般有三個(gè)用法,就是查詢顯示、添加記錄、與刪除記錄,這個(gè)在我們做網(wǎng)絡(luò)項(xiàng)目時(shí)經(jīng)常會用到。
1. arp -a ,當(dāng)你需要顯示當(dāng)期ip地址對應(yīng)的mac地址時(shí)使用
在命令提示符中輸入“arp -a”并回車;自動在緩存中,讀取IP地址和mac地址的對應(yīng)關(guān)系表;
2. arp -s ,當(dāng)你需要手動添加一條arp記錄時(shí)使用。
手工輸入一條ARP項(xiàng)目,格式為“ARP+空格+-a+IP地址+MAC地址”;
如下圖,我特意用arp -a查詢了ARP記錄;
其實(shí)這個(gè)命令也叫作綁定mac地址的命令,例如一個(gè)公司的網(wǎng)絡(luò),員工經(jīng)常喜歡改自己電腦的ip地址,經(jīng)常會造成ip地址混亂,無法管理,那么這個(gè)時(shí)候你只需要把它的ip地址與它電腦mac地址進(jìn)行綁定,那么下次出現(xiàn)網(wǎng)絡(luò)故障,就可以直接mac地址定位到那幾臺電腦。
3. arp -d,當(dāng)你覺得某條arp記錄有問題時(shí),可以刪除。
功能為:刪除所有ARP記錄
其實(shí)如果想徹底清空ARP列表,需要您禁止所有網(wǎng)絡(luò)連接,否則網(wǎng)絡(luò)數(shù)據(jù)交互過程中仍然會產(chǎn)生新的ARP列表。
那么有朋友會問,這三條命令會有什么用呢?
其實(shí)用途挺大的,例如,當(dāng)你網(wǎng)絡(luò)中出了問題,可能是有某些ip地址發(fā)生沖突了,mac對應(yīng)的ip地址有誤,那么你可以對它進(jìn)行刪除這條arp記錄,然后重新添加新的記錄,網(wǎng)絡(luò)問題就會得到解決。
三、什么arp攻擊
1. 什么是arp攻擊
ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的進(jìn)行。基于ARP協(xié)議的這一工作特性,黑客向?qū)Ψ接?jì)算機(jī)不斷發(fā)送有欺詐性質(zhì)的ARP數(shù)據(jù)包,數(shù)據(jù)包內(nèi)包含有與當(dāng)前設(shè)備重復(fù)的Mac地址,使對方在回應(yīng)報(bào)文時(shí),由于簡單的地址重復(fù)錯(cuò)誤而導(dǎo)致不能進(jìn)行正常的網(wǎng)絡(luò)通信。
2. arp地址如何防御
一般情況下,受到ARP攻擊的計(jì)算機(jī)會出現(xiàn)兩種現(xiàn)象:
不斷彈出“本機(jī)的XXX段硬件地址與網(wǎng)絡(luò)中的XXX段地址沖突”的對話框。
計(jì)算機(jī)不能正常上網(wǎng),出現(xiàn)網(wǎng)絡(luò)中斷的癥狀。
這類情況,在我們監(jiān)控系統(tǒng)中或者用戶較多的網(wǎng)絡(luò)中出現(xiàn)的比較多,經(jīng)常會出現(xiàn)ip地址沖突等問題,那么如何預(yù)防呢?
對于監(jiān)控或網(wǎng)絡(luò)系統(tǒng)中,一旦用戶較多,就需要劃分vlan或者對網(wǎng)絡(luò)進(jìn)行端口隔離,避免受到arp攻擊后,擴(kuò)散到其它設(shè)備上,通常有以下三個(gè)方法。
(1) ARP雙向綁定
在pc端上 IP+mac 綁定, 在網(wǎng)絡(luò)設(shè)備(交換路由)上 采用ip+mac+端口綁定
網(wǎng)關(guān)也進(jìn)行IP和mac的靜態(tài)綁定。
(2) 建立DHCP服務(wù)器
ARP攻擊一般先攻擊網(wǎng)關(guān),將DHCP服務(wù)器建立在網(wǎng)關(guān)上,也可采用arp過濾的防火墻。
(3) 劃分安全區(qū)域
ARP廣播包是不能跨子網(wǎng)或網(wǎng)段傳播的,網(wǎng)段可以隔離廣播包。VLAN就是一個(gè)邏輯廣播域,通過VLAN技術(shù)可以在局域網(wǎng)中創(chuàng)建多個(gè)子網(wǎng),就在局域網(wǎng)中隔離了廣播。。縮小感染范圍。 但是,安全域劃分太細(xì)會使局域網(wǎng)的管理和資源共享不方便。
3. 出現(xiàn)了arp攻擊后如何解決
受到arp攻擊后,網(wǎng)絡(luò)可能已經(jīng)斷了,時(shí)查看此對照表發(fā)現(xiàn),網(wǎng)關(guān)的Mac地址改變了。
(1) 然后輸入 arp -a
可以看到所有網(wǎng)關(guān)的列表,但是正常情況下,應(yīng)該只有一個(gè)網(wǎng)關(guān),多出來的,肯定是arp攻擊發(fā)起者的電腦偽裝的網(wǎng)關(guān)。
(2) 然后arp -d.
清除所有網(wǎng)關(guān),然后你的電腦會自己找網(wǎng)關(guān)。
(3) 在arp -a
列出新找的網(wǎng)關(guān),如果仍有多個(gè),再繼續(xù)arp -d。直到arp -a只出現(xiàn)一條記錄、
這個(gè)列表會顯示網(wǎng)關(guān)的IP地址和MAC地址,就是你的網(wǎng)關(guān)。
(4) arp -s ,再重新綁定
輸入 arp -s xxx.xxx.xxx.xxx ab-cd-ef-gh-ij-kl
xxx.xxx.xxx.xxx表示網(wǎng)關(guān)的IP地址,ab-cd-ef-gh-ij-kl表示網(wǎng)關(guān)的MAC地址。
