ARP原理
ARP是用來將一個IP地址映射到正確的MAC地址的協議。
ARP表項可以分爲靜態和動態兩種,所謂動態ARP是使用ARP廣播報文,動態執行並自動執行IP地址到以太網MAC地址的解析,無需網絡手動配置;而靜態ARP是建立IP地址與MAC地址之間固定的映射關係,在主機和路由器上不能動態調整此映射關係,需手動添加。
不論是計算機還是網絡設備,都會有一個ARP緩存表,用來存放IP地址與MAC地址之間的映射,它們利用ARP請求與應答報文來刷新該表,再將三層數據包封裝成二層數據幀,達到快速封裝數據幀,正確轉發數據的目的,而Proxy ARP是ARP的擴展應用。
Proxy ARP
代理ARP也就是Proxy ARP,當ARP請求從一臺主機發出,用於解析同一三層邏輯網絡卻不在同一物理網段上的另一臺主機的硬件地址時,連接它們的具有代理ARP功能的設備就可以應答該請求,是得處於不同物理網段的主機可以正常進行通信。
Proxy ARP實驗網絡拓撲
此種配置方法,在實際網絡中,不常用,通常作爲臨時解決方案。
一般來說,如果IP網絡過大,廣播對網絡的影響也相應增大,再不改變網絡設備配置的情況下,由管理員在網絡中透明的插入一臺路由器,靠路由器分割出多個廣播域,以降低廣播對網絡的影響,是可行的臨時解決方案,此種做法缺點是主機間通信會因爲引入額外的路由器而延遲增大,並且有瓶頸問題。
拓撲中,當主機1與主機2通信時,首先,主機要通過ip地址去獲取對端主機的mac地址,會發送arp request(arp請求報文),arp請求報文是一個廣播報文,整個192.168.1.0網段都會收到這個報文。
但是,主機1與主機2處於不同網絡,arp請求會在路由器的G0/0/0終止,默認情況下,路由器是不會轉發廣播報文的。
爲了解決這個問題,需要在路由器上啓用arp 代理,在arp代理啓用之後,路由器收到arp請求,會進行路由表的查詢,如果存在主機2的路由條目,則路由器會將G0/0/0接口的mac地址來回應主機1,主機1收到路由器發送的arp reply,將以路由器的G0/0/0接口mac地址作爲目的 mac地址,進行數據轉發。
Client1(主機1):192.168.1.2
同理,Client2(主機2)IP配置爲:192.168.2.2
AR1配置
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR1
[AR1]int GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[AR1-GigabitEthernet0/0/0]arp-proxy enable //啓用arp代理
[AR1-GigabitEthernet0/0/0]quit
[AR1]int GigabitEthernet 0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[AR1-GigabitEthernet0/0/1]arp-proxy enable
[AR1-GigabitEthernet0/0/1]quit
配置完成後,從主機 1 ping 192.168.2.2,ping通了,反之也是如此。
PC>ping 192.168.2.2
Ping 192.168.2.2: 32 data bytes, Press Ctrl_C to break
From 192.168.2.2: bytes=32 seq=1 ttl=127 time=63 ms
From 192.168.2.2: bytes=32 seq=2 ttl=127 time=62 ms
From 192.168.2.2: bytes=32 seq=3 ttl=127 time=94 ms
From 192.168.2.2: bytes=32 seq=4 ttl=127 time=78 ms
From 192.168.2.2: bytes=32 seq=5 ttl=127 time=63 ms
ARP欺騙
當主機與網關有數據訪問時,如果ARP表中沒有目標IP、目標MAC的對應表項,ARP協議觸發,向直連網段發送ARP廣播請求包,請求目標IP所對應的MAC地址,網關收到後,迴應單播的ARP響應報文,報文中,包含IP及MAC。
這種ARP協議的工作行爲,往往容易被攻擊者利用,如果攻擊者通過抓包獲取到IP及MAC,通過僞造的ARP報文(錯誤的IP及MAC映射),則主機或網關會把錯誤的映射更新到ARP表項中,那麼當主機要發送數據到指定的IP地址時,從ARP得到了錯誤的MAC地址,並用它進行封裝,導致數據幀無法正確發送。
如果內網中有主機中了ARP病毒,就會導致此類情況,那麼如果遇到這種情況,應該先再路由器上使用display arp all檢查設備的ARP緩存表(抓包也可以,抓取主機ping路由器的包,查看發往路由器的目的MAC是否正確),斷網主機IP與MAC的映射關係是否正確,添加靜態ARP表項,arp static 192.168.1.1 e022-83sx-3333。(靜態ARP工作量大,更優的是動態ARP)