ARP地址解析協議
1.概述:
通過DNS將域名解析到對應的IP地址,但是IP是邏輯地址,必須轉換爲MAC地址之後,將分組封裝成幀,才能夠在具體的物理網絡中傳輸。
這時候就需要ARP地址解析協議了。工作於網絡層和數據鏈路層之間。
2.ARP緩存表
存在於每臺已啓動計算機的內存之中,記錄了IP與MAC之間的對應關係以及生成類型(動態/靜態)
arp -a
這條指令可以顯示本機的ARP緩存表
計算機就是基於ARP緩存表來實現IP與MAC映射的。
靜態設置或動態學習
3.動態學習過程
如果A知道B的MAC地址
如果A不知道B的MAC地址
4.ARP欺騙
IP.B——MAC.B更新成了IP.B——MAC.C
這就形成了錯誤的映射
原因:ARP協議的缺陷:主動發送ARP請求和響應報文,源IP與MAC均可以僞造,但是ARP協議無法檢查應答包中地址信息的正確性
因爲這個缺陷出現了多種ARP欺騙攻擊
5.ARP欺騙方式
-
欺騙內網主機
-
欺騙網關
-
中間人攻擊(1.2的結合)
-
針對交換機的ARP欺騙
交換機的工作原理:通過主動學習下聯設備的MAC地址,建立和維護MAC地址表。
在進行欺騙時,攻擊者利用工具產生欺騙MAC,並且快速填滿交換機的 MAC地址表,MAC地址表被填滿以後,交換機便以廣播方式處理到達交換機的數據幀,攻擊者就可以利用各種嗅探攻擊方式來獲取網絡信息。
而大量的ARP欺騙流量會使交換機流量過載,過載以後就可能使得下連主機的網速變慢、數據包丟失、甚至網絡癱瘓。
6.ARP防範
-
針對主機的ARP欺騙的防範
方法:靜態綁定IP + MAC
因爲靜態的ARP記錄在計算機重啓以後就會消失,所以
編寫一個批處理文件(如arp.bat) , 添加到Windows操作系統的“啓動”欄中,這樣每次開機系統就會自動開始綁定。
@echo off
arp -d
arp-s 172.16.2.1 00-0a-8a-2d-a5-ff -
使用ARP防火牆
因爲它可以自動獲取網關IP和MAC信息、攔截非法的ARP數據包 -
針對交換機的ARP欺騙的防範
(1)靜態綁定下聯設備的MAC與交換機端口
(2)使用交換機的端口安全功能
(3)使用帶有防範ARP欺騙功能的交換機
總結:
TCP/IP體系協議安全包含的內容很多,這裏僅僅從地址轉換的角度對DNS和ARP協議安全問題說了一下。