什麼是ARP
地址解析協議(Address Resolution Protocol,ARP)是在僅知道主機的IP地址時確定其物理地址的一種協議。因IPv4和以太網的廣泛應用,其主要用作將IP地址翻譯爲以太網的MAC地址,但其也能在ATM和FDDIIP網絡中使用。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網絡層(IP層,也就是相當於OSI的第三層)地址解析爲數據連接層(MAC層,也就是相當於OSI的第二層)的MAC地址。
假設:
計算機A的IP爲192.168.1.1,MAC地址爲00-11-22-33-44-01;
計算機B的IP爲192.168.1.2,MAC地址爲00-11-22-33-44-02;
假設:
計算機A的IP爲192.168.1.1,MAC地址爲00-11-22-33-44-01;
計算機B的IP爲192.168.1.2,MAC地址爲00-11-22-33-44-02;
工作原理
ARP工作原理如下:
在TCP/IP協議中,A給B發送IP包,在包頭中需要填寫B的IP爲目標地址,但這個IP包在以太網上傳輸的時候,還需要進行一次以太包的封裝,在這個以太包中,目標地址就是B的MAC地址.
計算機A是如何得知B的MAC地址的呢?解決問題的關鍵就在於ARP協議。
在A不知道B的MAC地址的情況下,A就廣播一個ARP請求包,請求包中填有B的IP(192.168.1.2),以太網中的所有計算機都會接收這個請求,而正常的情況下只有B會給出ARP應答包,包中就填充上了B的MAC地址,並回復給A。
A得到ARP應答後,將B的MAC地址放入本機緩存,便於下次使用。
本機MAC緩存是有生存期的,生存期結束後,將再次重複上面的過程。
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,當局域網中的某臺機器B向A發送一個自己僞造的ARP應答,而如果這個應答是B冒充C僞造來的,即IP地址爲C的IP,而MAC地址是僞造的,則當A接收到B僞造的ARP應答後,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於局域網的網絡流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個僞造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網絡不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。
應用
在網絡執法官中,要想限制某臺機器上網,只要點擊"網卡"菜單中的"權限",選擇指定的網卡號或在用戶列表中點擊該網卡所在行,從右鍵菜單中選擇"權限",在彈出的對話框中即可限制該用戶的權限。對於未登記網卡,可以這樣限定其上線:只要設定好所有已知用戶(登記)後,將網卡的默認權限改爲禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被***的電腦一個假的網關IP地址對應的MAC,使其找不到網關真正的MAC地址,這樣就可以禁止其上網。
防禦
ARP欺騙可以導致目標計算機與網關通信失敗
更可怕的是會導致通信重定向,所有的數據都會通過***者的機器,因此存在極大的安全隱患。
基與PC到PC的IP-MAC雙向綁定可以解決ARP欺騙
但是對於不支持IP-MAC雙向綁定的設備
就需要用可以綁定端口-MAC的交換來預防ARP欺騙
另外,Windows 2KSP4 XPSP1 的Arp-S綁定是無效的
需要升級到 2KSP5 或 XPSP2