arp报文结构(ARP帧结构)
最后更新:2022-11-05 14:35:48 手机定位技术交流文章
ARP的报文结构是 怎么样的呢?攻击原理是什么?
我们公司用免疫墙,都没有arp攻击,有的话直接从网卡上面拦截,还能在监控当中报警。
以前说实话对于这个,还真没有什么技术能解决,但是现在有了,北京欣全向公司的免疫墙路由器很好用的,听用过的哥们说很好彻底解决了内网的共计等等
骷髅头攻击就是一种ARP攻击,当骷髅头攻击发起时,它首先扫描内网的所有电脑,搜索局域网内所有电脑的IP和MAC地址,然后迅速感染局域网内的所有用户,利用搜索到的IP和MAC一起发送大量的tcp的syn同步包(TCP三次握手中的第二个包),攻击网关或者局域网内的某台PC。大量占用网络的带宽和耗费被攻击者的资源,从而导致路由器或PC瘫痪。 欣全向内网安全解决方案中,安装在网卡上的免疫驱动就能识别此类攻击程序,当某个用户受到攻击时,装有免疫驱动的网卡就能识别此程序是否合法,不合法直接拦截掉,从而达到保护自身也不影响其他用户的目的(免疫驱动具有双向拦截功能)。真正实现在源头解决问题,达到安全的效果。 而其他同类路由器如果遭受骷髅头的攻击就会在短短几秒钟当机。原因就是这些攻击包的IP和MAC都是局域网内部合法的地址。所以它根本不可能分清楚哪个是攻击包,哪个是正常的通信包。如果路由器把攻击包拦截掉,它也会把正常的通信包封杀,从而会造成内网的掉线等现象的发生。
以前说实话对于这个,还真没有什么技术能解决,但是现在有了,北京欣全向公司的免疫墙路由器很好用的,听用过的哥们说很好彻底解决了内网的共计等等
骷髅头攻击就是一种ARP攻击,当骷髅头攻击发起时,它首先扫描内网的所有电脑,搜索局域网内所有电脑的IP和MAC地址,然后迅速感染局域网内的所有用户,利用搜索到的IP和MAC一起发送大量的tcp的syn同步包(TCP三次握手中的第二个包),攻击网关或者局域网内的某台PC。大量占用网络的带宽和耗费被攻击者的资源,从而导致路由器或PC瘫痪。 欣全向内网安全解决方案中,安装在网卡上的免疫驱动就能识别此类攻击程序,当某个用户受到攻击时,装有免疫驱动的网卡就能识别此程序是否合法,不合法直接拦截掉,从而达到保护自身也不影响其他用户的目的(免疫驱动具有双向拦截功能)。真正实现在源头解决问题,达到安全的效果。 而其他同类路由器如果遭受骷髅头的攻击就会在短短几秒钟当机。原因就是这些攻击包的IP和MAC都是局域网内部合法的地址。所以它根本不可能分清楚哪个是攻击包,哪个是正常的通信包。如果路由器把攻击包拦截掉,它也会把正常的通信包封杀,从而会造成内网的掉线等现象的发生。
arp数据包的构造
在网络中,IP数据包常通过以太网发送。以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。 ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来,以节约不必要的ARP通信。 如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上, ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。
ARP 协议
网络设备有数据要发送给另一台网络设备时,必须要知道对方的网络层地址(即IP地址)。IP地址由网络层来提供,但是仅有IP地址是不够的,IP数据报文必须封装成帧才能通过数据链路进行发送。数据帧必须要包含目的MAC地址,因此发送端还必须获取到目的MAC地址。通过目的IP地址二获取的MAC地址的过程是由ARP(Address Resolution Protocol)协议来实现的。 数据链路层在进行数据封装的时候,需要目的MAC地址。一台网络设备要发送数据给另外一台网络设时,必须要知道对方的IP地址。但是,仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过数据链路层进行发送,而数据帧必须要包含目的MAC地址,因此发送端还必须获取到目的MAC地址。每一个网络设备在数据封装前都需要获取下一跳的MAC地址。IP地址由网络层来提供,MAC地址通过ARP协议来获取。ARP协议是TCP/IP协议簇中的重要组成部分,ARP能够通过目的IP地址发现目标设备的MAC地址,从而实现数据链路层的可达性。ARP数据包格式:关于ARP协议属于2层还是3层的讨论:https://networkengineering.stackexchange.com/questions/5064/on-which-layer-of-the-osi-model-does-the-arp-protocol-belong这里有句话很好:OSI只是一个模型,没有任何一个协议是完全属于哪一层的。我们看帧结构,ARP数据直接包含在Ethernet_II中,我个人认为它可以归纳于二层。网络设备通过ARP报文来发现目的MAC地址。ARP报文中包含以下字段:1)Hardware Type:硬件地址类型,一般为以太网;2)Protocol Type:表示三层协议地址类型,一般为IP;3)Hardware Length和Protocol Length为MAC地址和IP地址的长度,单位是字节; (这个理论上可以不要,因为前面已经确定了硬件类型和协议类型)4)Operation Code指定了ARP报文的类型,包括ARP request和ARP reply;5)Source Hardware Address 指的是发送ARP报文的设备MAC地址;6)Source Protocol Address指的是发送ARP报文的设备IP地址;7)Destination Hardware Address指的是接收者MAC地址,在ARP request报文中,该字段值为0;8)Destination Protocol Address指的是接受者的IP地址。通过ARP协议,网络设备可以建立目标IP地址和MAC地址之间的映射。网络设备通过网络层获取到目的IP地址之后,还要判断目的MAC地址是否已知。网络设备一般都有一个ARP缓存(ARP Cache),ARP缓存用来存放IP地址和MAC地址的关联信息。在发送数据前,设备会先查找ARP缓存表。如果缓存表中存在对方设备的MAC地址,则直接采用该MAC地址来封装帧,然后将帧发送出去。如果缓存表中不存在相应的信息,则通过发送ARP request报文来获得它。学习到的IP地址和MAC地址的映射关系会被放入ARP缓存表中存放一段时间。在有效期内,设备可以直接从这个表中查找目的MAC地址来进行数据封装,而无需进行ARP查询。过了这段有效期,ARP表现会被自动删除。如果目标设备位于其他网络则源设备会在ARP缓存表中查找网关的MAC地址,然后将数据发送给网关,网关再把数据转发给目的设备。在本例中,主机A的ARP缓存表中不存在主机C的MAC地址,所以主机A会发送ARP Request来获取目的MAC。ARP request报文封装在以太帧中。帧头中的源MAC地址为发送端主机A的MAC地址。此时,由于主机A不知道主机C的MAC地址,所以目的MAC地址为广播地址 FF-FF-FF-FF-FF-FF 。ARP request 报文中包含源IP地址,目的IP地址,源MAC地址,目的MAC地址,其中目的MAC地址的值为0。ARP request报文会在整个网络上传播,该网络中所有主机包括网关都会接受到此ARP request 报文。网关会阻止该报文发送到其他网络上。所有主机接收到该ARP request报文后,会检查它的目的协议地址(一般是 00-00-00-00-00-00-00 与所有的匹配)字段与自身的IP地址是否匹配。如果不匹配,则该主机将不会响应该ARP request报文。如果匹配,则该主机会将ARP报文中的源MAC地址和源IP地址信息记录到自己的ARP缓存表中,然后通过ARP Reply报文进行响应。主机C会向主机A回应ARP Reply报文。 ARP Reply 报文中的源协议地址是主机C自己的IP地址,目标协议地址是主机A的IP地址,同事Operation Code被设置为reply。ARP Reply报文通过单播传送。主机A收到ARP Reply以后,会检查ARP报文中目的MAC地址是否与自己的MAC匹配。如果匹配,ARP报文中的源MAC地址和源IP地址会被记录到主机A的ARP缓存表中。ARP表项的老化超时时间缺省为1200秒(20min)。位于不同网络的网络设备在不配置网关的情况下,能够通过ARP代理实现相互通信。在上述例子的组网中,主机A需要与主机B通信时,目的IP地址与本机的IP地址位于不同网络,但是由于主机A未配置网关,所以它会将以广播形式发送ARP request报文,请求主机B的MAC地址。但是,广播报文无法被路由器转发,所以主机B无法收到主机A的ARP请求报文,当然也就无法应答。在路由器上启用代理ARP功能,就可以解决这个问题。启用代理ARP后,路由器收到这样的请求,会查找路由表,如果存在主机B的路由表项,路由器将会使用自己的G0/0/0接口的MAC地址来回应该ARP request。主机A收到ARP reply后,将以路由器的G0/0/0接口MAC地址作为目的MAC地址进行数据转发。免费ARP可以用来探测IP地址是否冲突。主机被分配了IP地址或者IP地址发生变化后,必须立刻检测其所分配的IP地址在网络上是否是唯一的,以避免地址冲突。主机通过发送ARP request报文来进行地址冲突检测。主机A将 ARP request 广播报文中的目的IP地址字段设置为自己的IP地址,该网络中所有主机包括网关都会接收到此报文。当目的IP地址已经被某一个主机或网关使用时,该主机或网关就会回应 ARP reply 报文。通过这种方式,主机A就能探测到IP地址冲突了。总结:1.网络设备在什么情况下回发送ARP request?源设备在发送数据给目的设备前,会首先查看自身的ARP缓存,查找ARP缓存是否在目的设备的IP地址和MAC地址的映射。如果存在则直接使用,如果不存在则会发送ARP request。2.网络设备什么时候会产生免费ARP? 当网络上的一个设备被分配了IP地址或者IP地址发生变化后,可以通过免费ARP来检查IP地址是否冲突。
ARP 到底是2层还是3层协议?
按照OSI的标准,当数据向下传递时,每层会加上自己的信息,各层互不干扰.这样当网络层的IP包进入链路层时,链路层该如何加这个头部的目标信息呢?它要依靠ARP协议来完成.显然如何加链路头并不是网络层的功能.而且,ARP协议工作时,并不使用IP的包头。所以也有很多人说,ARP是链路层的。可以说,在TCP/IP模型中,ARP协议属于IP层;在OSI模型中,ARP协议属于链路层。在sniffer软件中,捕获协议数据时,如果使用IP地址是无法捕获到ARP包的,因为IP地址是ARP协议的载荷,不在包头中。但ARP协议的载荷中,也并不包含任何上层的IP数据包。所以,构造和使用ARP协议的主体理解IP地址。从这个角度考虑,将ARP协议划分到IP层也有一定道理。总之,具体到某个协议,它到底属于哪一层,并不是那么严格。到目前为止,理解到此。
感谢楼上的几位,我个人感觉虽然ARP服务于ip,但既然是用帧传输就应该属于链路层,osi链路层对应的tcp/ip的网络接入层,所以arp应该属于tcp/ip中的网络接入层
属于OSI的第三层,详解可以参考 《TCP/IP详解》之ARP章节
arp属于IP层协议,道理很简单,首先ARP并不属于整体的传输报文底层构成。其作用是基于IP地址进行二层寻址,即查找对应MAC。在二层工作模式下是发不出ARP的,因为没有源地址也没有目标地址。基于三层地址信息查询或处理二层的内容,标准的三层协议做法。
在具体的协议实现上,ARP是在链路层上实现的,所以我觉得ARP应该是链路层的
感谢楼上的几位,我个人感觉虽然ARP服务于ip,但既然是用帧传输就应该属于链路层,osi链路层对应的tcp/ip的网络接入层,所以arp应该属于tcp/ip中的网络接入层
属于OSI的第三层,详解可以参考 《TCP/IP详解》之ARP章节
arp属于IP层协议,道理很简单,首先ARP并不属于整体的传输报文底层构成。其作用是基于IP地址进行二层寻址,即查找对应MAC。在二层工作模式下是发不出ARP的,因为没有源地址也没有目标地址。基于三层地址信息查询或处理二层的内容,标准的三层协议做法。
在具体的协议实现上,ARP是在链路层上实现的,所以我觉得ARP应该是链路层的
什么是ARP?
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。扩展资料:RARP和ARP不同,地址解析协议是根据IP地址获取物理地址的协议,而反向地址转换协议(RARP)是局域网的物理机器从网关服务器的ARP表或者缓存上根据MAC地址请求IP地址的协议,其功能与地址解析协议相反。与ARP相比,RARP的工作流程也相反。首先是查询主机向网路送出一个RARP Request广播封包,向别的主机查询自己的IP地址。这时候网络上的RARP服务器就会将发送端的IP地址用RARP Reply封包回应给查询者,这样查询主机就获得自己的IP地址了。参考资料来源:百度百科-TCP/IP协议参考资料来源:百度百科-地址解析协议
简单来说就是有个机子中了病毒,它伪造IP地址和你冲突,或是伪造网关,便你的计算机不能正常的接收数据,从而掉线 ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话,网络就肯定会出现大面积的掉线问题。ARP攻击在现今的网络中频频出现,有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。英文原义:AddressResolutionProtocol中文释义:(RFC-826)地址解析协议局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址以保证通信的顺利进行。注解:简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过MAC地址两个主机就可以实现数据传输了。应用:在安装了以太网网络适配器的计算机中都有专门的ARP缓存,包含一个或多个表,用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息,可以使用arp命令来完成,比如在WindowsXP的命令提示符窗口中键入“arp-a”或“arp-g”可以查看ARP缓存中的内容;键入“arp-dIPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。arp命令的其他用法可以键入“arp /?”查看到.
简单来说就是有个机子中了病毒,它伪造IP地址和你冲突,或是伪造网关,便你的计算机不能正常的接收数据,从而掉线 ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话,网络就肯定会出现大面积的掉线问题。ARP攻击在现今的网络中频频出现,有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。英文原义:AddressResolutionProtocol中文释义:(RFC-826)地址解析协议局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址以保证通信的顺利进行。注解:简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过MAC地址两个主机就可以实现数据传输了。应用:在安装了以太网网络适配器的计算机中都有专门的ARP缓存,包含一个或多个表,用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息,可以使用arp命令来完成,比如在WindowsXP的命令提示符窗口中键入“arp-a”或“arp-g”可以查看ARP缓存中的内容;键入“arp-dIPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。arp命令的其他用法可以键入“arp/?”查看到.黄金Ж羚羊回答时间2007-12-2620:53检举!.ˊ伤ㄋ这一年回答时间2007-12-2723:25 检举
这里没法看图片,如果你想看的话,就到这里来: http://www.net130.com/CMS/Pub/network/network_protocal/20201.htmARP协议概述IP数据包常通过以太网发送。以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来,以节约不必要的ARP通信。如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上, ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。图1 以太网上的ARP报文格式图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位,也就是4个八位组表示,在以后的图中,我们也将遵循这一方式。硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1。协议类型字段指明了发送方提供的高层协议类型,IP为0806(16进制)。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。当发出ARP请求时,发送方填好发送方首部和发送方IP地址,还要填写目标IP地址。当目标机器收到这个ARP广播包时,就会在响应报文中填上自己的48位主机地址。2 ARP使用举例我们先看一下linux下的arp命令(如果开始arp表中的内容为空的话,需要先对某台主机进行一个连接,例如ping一下目标主机来产生一个arp项):d2server:/home/kerberos# arpAddressHWtypeHWaddress Flags MaskIface211.161.17.254 ether 00:04:9A:AD:1C:0AC eth0Address:主机的IP地址Hwtype:主机的硬件类型Hwaddress:主机的硬件地址Flags Mask:记录标志,"C"表示arp高速缓存中的条目,"M"表示静态的arp条目。用"arp --a"命令可以显示主机地址与IP地址的对应表,也就是机器中所保存的arp缓存信息。这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为20分钟,起始时间从被创建时开始算起。d2server:/home/kerberos# arp -a(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0可以看到在缓存中有一条211.161.17.254相对应的arp缓存条目。d2server:/home/kerberos# telnet 211.161.17.21Trying 211.161.17.21...Connected to 211.161.17.21.Escape character is '^]'.^].telnet>quitconnetion closed.在执行上面一条telnet命令的同时,用tcpdump进行监听:d2server:/home/kerberos# tcpdump -e dst host 211.161.17.21tcpdump: listening on eth0我们将会听到很多包,我们取与我们arp协议相关的2个包:10.0 00:D0:F8:0A:FB:83FF:FF:FF:FF:FF:FFarp60who has 211.161.17.21 tell d2server20.002344(0.0021) 00:E0:3C:43:0D:2400:D0:F8:0A:FB:83arp60arp reply 211.161.17.21 is at 00:E0:3C:43:0D:24在第1行中,源端主机(d2server)的硬件地址是00:D0:F8:0A:FB:83。目的端主机的硬件地址是FF:FF:FF:FF:FF:FF,这是一个以太网广播地址。电缆上的每个以太网接口都要接收这个数据帧并对它进行处理。第1行中紧接着的一个输出字段是arp,表明帧类型字段的值是0x0806,说明此数据帧是一个ARP请求或回答。在每行中,单词后面的值60指的是以太网数据帧的长度。由于ARP请求或回答的数据帧长都是42字节(28字节的ARP数据,14字节的以太网帧头),因此,每一帧都必须加入填充字符以达到以太网的最小长度要求:60字节。第1行中的下一个输出字段arp who-has表示作为ARP请求的这个数据帧中,目的I P地址是211.161.17.21的地址,发送端的I P地址是d2server的地址。tcpdump打印出主机名对应的默认I P地址。从第2行中可以看到,尽管ARP请求是广播的,但是ARP应答的目的地址却是211.161.17.21(00:E0:3C:43:0D:24)。ARP应答是直接送到请求端主机的,而是广播的。tcpdump打印出arp reply的字样,同时打印出响应者的主机ip和硬件地址。在每一行中,行号后面的数字表示tcpdump收到分组的时间(以秒为单位)。除第1行外,每行在括号中还包含了与上一行的时间差异(以秒为单位)。这个时候我们再看看机器中的arp缓存:d2server:/home/kerberos# arp -a(211.161.17.254) at00:04:9A:AD:1C:0A [ether] on eth0(211.161.17.21) at00:E0:3C:43:0D:24 [ether] on eth0arp高速缓存中已经增加了一条有关211.161.17.21的映射。再看看其他的arp相关的命令:d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00d2server:/home/kerberos# arpAddressHWtypeHWaddressFlags Mask Iface211.161.17.254 ether 00:04:9A:AD:1C:0A Ceth0211.161.17.21ether 00:00:00:00:00:00CM eth0d2server:/home/kerberos# arp -a(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0(211.161.17.21) at 00:00:00:00:00:00 [ether] PERM on eth0可以看到我们用arp -s选项设置了211.161.17.21对应的硬件地址为00:00:00:00:00:00,而且这条映射的标志字段为CM,也就是说我们手工设置的arp选项为静态arp选项,它保持不变没有超时,不像高速缓存中的条目要在一定的时间间隔后更新。如果想让手工设置的arp选项有超时时间的话,可以加上temp选项d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 tempd2server:/home/kerberos# arp -a(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0(211.161.17.21) at 00:00:00:00:00:00 [ether] on eth0d2server:/home/kerberos# arpAddressHWtypeHWaddress Flags MaskIface211.161.17.254 ether 00:04:9A:AD:1C:0A Ceth0211.161.17.21ether 00:00:00:00:00:00 Ceth0可以看到标志字段的静态arp标志"M"已经去掉了,我们手工加上的是一条动态条目。请大家注意arp静态条目与动态条目的区别。在不同的系统中,手工设置的arp静态条目是有区别的。在linux和win2000中,静态条目不会因为伪造的arp响应包而改变,而动态条目会改变。而在win98中,手工设置的静态条目会因为收到伪造的arp响应包而改变。如果您想删除某个arp条目(包括静态条目),可以用下面的命令:d2server:/home/kerberos# arp -d 211.161.17.21d2server:/home/kerberos# arp -a(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0(211.161.17.21) aton eth0可以看到211.161.17.21的arp条目已经是不完整的了。还有一些其他的命令,可以参考linux下的man文档:d2server:/home/kerberos# man arpARP欺骗我们先复习一下上面所讲的ARP协议的原理。在实现TCP/IP协议的网络环境下,一个ip包走到哪里,要怎么走是靠路由表定义,但是,当ip包到达该网络后,哪台机器响应这个ip包却是靠该ip包中所包含的硬件mac地址来识别。也就是说,只有机器的硬件mac地址和该ip包中的硬件mac地址相同的机器才会应答这个ip包,因为在网络中,每一台主机都会有发送ip包的时候,所以,在每台主机的内存中,都有一个 arp--> 硬件mac 的转换表。通常是动态的转换表(该arp表可以手工添加静态条目)。也就是说,该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的硬件mac地址,如果没有找到,该主机就发送一个ARP广播包,于是,主机刷新自己的ARP缓存。然后发出该ip包。了解这些常识后,现在就可以谈在以太网络中如何实现ARP欺骗了,可以看看这样一个例子。3.1 同一网段的ARP欺骗图2 同一网段的arp欺骗如图2所示,三台主机A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AAB: ip地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB:BBC: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC一个位于主机B的入侵者想非法进入主机A,可是这台主机上安装有防火墙。通过收集资料他知道这台主机A的防火墙只对主机C有信任关系(开放23端口(telnet))。而他必须要使用telnet来进入主机A,这个时候他应该如何处理呢?我们这样考虑,入侵者必须让主机A相信主机B就是主机C,如果主机A和主机C之间的信任关系是建立在ip地址之上的。如果单单把主机B的ip地址改的和主机C的一样,那是不能工作的,至少不能可靠地工作。如果你告诉以太网卡设备驱动程序, 自己IP是192.168.0.3,那么这只是一种纯粹的竞争关系,并不能达到目标。我们可以先研究C这台机器如果我们能让这台机器暂时当掉,竞争关系就可以解除,这个还是有可能实现的。在机器C当掉的同时,将机器B的ip地址改为192.168.0.3,这样就可以成功的通过23端口telnet到机器A上面,而成功的绕过防火墙的限制。上面的这种想法在下面的情况下是没有作用的,如果主机A和主机C之间的信任关系是建立在硬件地址的基础上。这个时候还需要用ARP欺骗的手段让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址。我们可以人为的制造一个arp_reply的响应包,发送给想要欺骗的主机,这是可以实现的,因为协议并没有规定必须在接收到arp_echo后才可以发送响应包.这样的工具很多,我们也可以直接用snifferpro抓一个arp响应包,然后进行修改。你可以人为地制造这个包。可以指定ARP包中的源IP、目标IP、源MAC地址、目标MAC地址。这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的。下面是具体的步骤:他先研究192.0.0.3这台主机,发现这台主机的漏洞。根据发现的漏洞使主机C当掉,暂时停止工作。这段时间里,入侵者把自己的ip改成192.0.0.3他用工具发一个源ip地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A,要求主机A更新自己的arp转换表。主机更新了arp表中关于主机C的ip-->mac对应关系。防火墙失效了,入侵的ip变成合法的mac地址,可以telnet 了。上面就是一个ARP的欺骗过程,这是在同网段发生的情况,但是,提醒注意的是,在B和C处于不同网段的时候,上面的方法是不起作用的。3.2 不同网段的ARP欺骗图3 不同网段之间的ARP欺骗如图3所示A、C位于同一网段而主机B位于另一网段,三台机器的ip地址和硬件地址如下:A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AAB: ip地址 192.168.1.2 硬件地址 BB:BB:BB:BB:BB:BBC: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC在现在的情况下,位于192.168.1网段的主机B如何冒充主机C欺骗主机A呢?显然用上面的办法的话,即使欺骗成功,那么由主机B和主机A之间也无法建立telnet会话,因为路由器不会把主机A发给主机B的包向外转发,路由器会发现地址在192.168.0.这个网段之内。现在就涉及到另外一种欺骗方式―ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。什么是ICMP重定向呢?ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器也会把初始数据报向它的目的地转发。我们可以利用ICMP重定向报文达到欺骗的目的。下面是结合ARP欺骗和ICMP重定向进行攻击的步骤:为了使自己发出的非法ip包能在网络上能够存活长久一点,开始修改ip包的生存时间ttl为下面的过程中可能带来的问题做准备。把ttl改成255. (ttl定义一个ip包如果在网络上到不了主机后,在网络上能存活的时间,改长一点在本例中有利于做充足的广播)下载一个可以自由制作各种包的工具(例如hping2)然后和上面一样,寻找主机C的漏洞按照这个漏洞当掉主机C。在该网络的主机找不到原来的192.0.0.3后,将更新自己的ARP对应表。于是他发送一个原ip地址为192.168.0.3硬件地址为BB:BB:BB:BB:BB:BB的ARP响应包。好了,现在每台主机都知道了,一个新的MAC地址对应192.0.0.3,一个ARP欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。自己定制一个ICMP重定向包告诉网络中的主机:"到192.0.0.3的路由最短路径不是局域网,而是路由,请主机重定向你们的路由路径,把所有到192.0.0.3的ip包丢给路由。"主机A接受这个合理的ICMP重定向,于是修改自己的路由路径,把对192.0.0.3的通讯都丢给路由器。入侵者终于可以在路由外收到来自路由内的主机的ip包了,他可以开始telnet到主机的23口。其实上面的想法只是一种理想话的情况,主机许可接收的ICMP重定向包其实有很多的限制条件,这些条件使ICMP重定向变的非常困难。TCP/IP协议实现中关于主机接收ICMP重定向报文主要有下面几条限制:新路由必须是直达的重定向包必须来自去往目标的当前路由重定向包不能通知主机用自己做路由被改变的路由必须是一条间接路由由于有这些限制,所以ICMP欺骗实际上很难实现。但是我们也可以主动的根据上面的思维寻找一些其他的方法。更为重要的是我们知道了这些欺骗方法的危害性,我们就可以采取相应的防御办法。3.3 ARP欺骗的防御知道了ARP欺骗的方法和危害,我们给出一些初步的防御方法:不要把你的网络安全信任关系建立在ip地址的基础上或硬件mac地址基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。在linux下可以用ifconfig -arp可以使网卡驱动程序停止使用ARP。使用代理网关发送外出的通讯。修改系统拒收ICMP重定向报文在linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。在win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。4 代理ARP的应用代理ARP有两大应用,一个是有利的就是我们在防火墙实现中常说的透明模式的实现,另一个是有害的就是通过它可以达到在交换环境中进行嗅探的目的.由此可见同样一种技术被应用于不同的目的,效果是不一样的.我们先来看交换环境中局域网的嗅探.通常在局域网环境中,我们都是通过交换环境的网关上网的。在交换环境中使用NetXray或者NAI Sniffer一类的嗅探工具除了抓到自己的包以外,是不能看到其他主机的网络通信的。但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。ARP协议是将IP地址解析为MAC地址的协议,局域网中的通信都是基于MAC地址的。图4 交换网络中的ARP欺骗如图4所示,三台主机位于一个交换网络的环境中,其中A是网关:A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AAB: ip地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BBC:ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC在局域网中192.168.0.2和192.168.0.3都是通过网关192.168.0.1上网的,假定攻击者的系统为192.168.0.2,他希望听到192.168.0.3的通信,那么我们就可以利用ARP欺骗实现。这种欺骗的中心原则就是arp代理的应用.主机A是局域网中的代理服务器,局域网中每个节点的向外的通信都要通过它.主机B想要听主机C的通信,它需要先使用ARP欺骗,让主机C认为它就是主机A,这个时候它发一个IP地址为192.168.0.1,物理地址为BB:BB:BB:BB:BB:BB的ARP响应包给主机C,这样主机C会把发往主机A的包发往主机B.同理,还要让网关A相信它就是主机C,向网关A发送一个IP地址为192.168.0.3,物理地址为BB:BB:BB:BB:BB:BB的包.上面这一步的操作和前面的ARP欺骗的原理是一样的,但是还是有问题,过一段时间主机B会发现自己无法上网.所以下面还有一个步骤就是需要在主机B上转发从主机A到主机C的包,并且转发从主机C到主机A的包.现在我们可以看到其实主机B在主机A和主机C的通讯中起到了一个代理的作用,这就是为什么叫做ARP代理的原因.具体实现要用到两个工具dsniff和fragrouter,dsniff用来实现ARP欺骗,fragroute用来进行包的转发.首先利用dsniff中的arpspoof来实现ARP欺骗,dsniff软件可以在下面的网址下载:http://naughty.monkey.org/~dugsong/dsniff安装这个软件包之前先要下载安装libnet.欺骗192.168.0.3,告诉这台机器网关192.168.0.1的MAC地址是192.168.0.2的MAC地址.[root@sound dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.3 192.168.0.1欺骗192.168.0.1,告诉192.168.0.1主机192.168.0.3的MAC地址是192.168.0.2的MAC地址。[root@sound dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.1 192.168.0.3现在我们已经完成了第一步的欺骗,这个欺骗是通过arpspoof来完成的,当然您也可以使用别的工具甚至自己发包来完成.现在我们可以看到在主机A和主机C的arp列表里面都完成了我们需要的工作.在后面的透明代理中我们将使用另外一种不同的理念.下面我们先打开linux系统中的转发包的选项:[root@sound /root]# echo "1" >/proc/sys/net/ipv4/ip_forward下面我们可以下载大名鼎鼎的dugsong的另外一个工具fragroute,这个工具以前叫做fragrouter(仅有1字的差别)主要用于实现入侵检测系统处理分片的ip和tcp包功能的检测,本身自代包转发的功能.可以到下面的网站下载:http://monkey.org/~dugsong/fragroute/安装这个软件包之前先要下载安装libpcap和libevent.当然我们也可以使用fragrouter来完成:http://www.packetstormsecurity.org/groups/w00w00/sectools/fragrouter/[root@sound fragrouter-1.6]# ./fragrouter -B1fragrouter: base-1: normal IP forwarding现在就可以实现在交换局域网中嗅探的目标.当然上面这些只是一些原理性的介绍,在真正的使用中会遇到很多的问题,比如如何实现对网关A和主机C的欺骗,以及如何处理可能出现的广播风暴问题,这些可以在实践中学习.还有一个叫arpsniff的工具能够很方便的完成这一功能,很多网站都提供下载,界面比较友好,由于和上面的原理一样,只是工具使用上的不同并且添加了一些附加的功能,所以这里不在进行介绍.代理ARP的另外一个应用就是防火墙的透明代理的实现.我们都知道早期的防火墙大都是基于路由模式,也就是防火墙要完成一个路由的作用.这种接入方式需要在局域网内的主机上设置防火墙的IP为代理,而且需要在外部路由器的路由表中加入一条指向防火墙的路由.这种方式的缺点在于不透明,需要进行过多的设置,并且破坏了原有的网络拓扑.所以现在几乎全部的防火墙都实现了一种透明接入的功能,用户的路由器和客户端不用做任何修改,用户甚至感觉不到透明接入方式防火墙的存在.这种透明接入的原理就是ARP代理.我们现在看如何配置一台主机作为透明接入模式的防火墙(透明接入的防火墙不需要IP),图5如图5所示,一台防火墙连接内部网段和DMZ网段到外部路由.我们在这台用作防火墙的主机上使用linux操作系统,这样我们可以方便的使用iptables防火墙.假设三块网卡为eth0,eth1和eth2,eth0和路由器相连,eth1和内网相连.eth2和外网相连.假设DMZ区有2台服务器.内网地址:192.168.1.0/24DMZ地址:192.168.1.2---192.168.1.3路由器的ip地址:192.168.1.1eth0:AA:AA:AA:AA:AA:AAeth1:BB:BB:BB:BB:BB:BBeth2:CC:CC:CC:CC:CC:CC和前面差不多,第一步需要实现ARP欺骗,这次我们有个简单的实现.我们把路由器的IP地址和防火墙的eth1和eth2的网卡物理地址绑定,将内网和DMZ网段的IP地址和eth0的网卡绑定,在linux系统上我们用arp命令实现:arp -s 192.168.1.1 BB:BB:BB:BB:BB:BBarp -s 192.168.1.1 CC:CC:CC:CC:CC:CCarp -s 192.168.1.0/24 AA:AA:AA:AA:AA:AA第二部我们需要在基于linux的防火墙上设置路由,把目标地址是外部路由的包转发到eth0,把目标地址为内网的包转发到eth1,把目标地址是DMZ网段服务器的包转发到eth2.在linux下面用route命令实现route add 192.168.1.1 dev eth0route add -net 192.168.1.0/24dev eth1route add 192.168.1.2dev eth2route add 192.168.1.3dev eth3(针对DMZ网段里面的每台服务器都要增加一条单独的路由) 现在我们就已经实现了一个简单的arp代理的透明接入,当然对应于防火墙的iptables部分要另外配置,iptables的配置不在本文范畴之内.小结 本文介绍了ARP协议以及与其相关的安全问题。一个重要的安全问题就是ARP欺骗,我们讲到了同一网段的ARP欺骗以及跨网段的ARP欺骗和ICMP重定向相结合的方法。由于有这些安全问题的存在,我们给出一些最基本的解决办法。最后谈到了利用代理ARP实现在交换网络中嗅探和防火墙的透明接入。
arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议,或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。 为什么要将ip转化成mac呢?简单的说,这是因为在tcp网络环境下,一个ip包走到哪里,要怎么走是靠路由表定义。但是,当ip包到达该网络后,哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别。也就是说,只有机器的mac地址和该ip包中的mac地址相同的机器才会应答这个ip包。因为在网络中,每一台主机都会有发送ip包的时候。所以,在每台主机的内存中,都有一个arp-->mac的转换表。通常是动态的转换表(注意在路由中,该arp表可以被设置成静态)。也就是说,该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的mac地址而决定的。通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的mac地址。如果没有找到,该主机就发送一个ARP广播包,看起来象这样子:"我是主机xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip为xxx.xxx.xxx.xx1的主机请告之你的mac来"ip为xxx.xxx.xxx.xx1的主机响应这个广播,应答ARP广播为:"我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2"于是,主机刷新自己的ARP缓存,然后发出该ip包。了解这些常识后,现在就可以谈在网络中如何实现ARP欺骗了,可以看看这样一个例子:一个入侵者想非法进入某台主机,他知道这台主机的防火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机,所以他要这么做:1、他先研究192.0.0.3这台主机,发现这台95的机器使用一个oob就可以让他死掉。2、于是,他送一个洪水包给192.0.0.3的139口,于是,该机器应包而死。3、这时,主机发到192.0.0.3的ip包将无法被机器应答,系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。4、这段时间里,入侵者把自己的ip改成192.0.0.35、他发一个ping(icmp0)给主机,要求主机更新主机的arp转换表。6、主机找到该ip,然后在arp表中加入新的ip-->mac对应关系。 7、防火墙失效了,入侵的ip变成合法的mac地址,可以telnet了。
简单来说就是有个机子中了病毒,它伪造IP地址和你冲突,或是伪造网关,便你的计算机不能正常的接收数据,从而掉线 ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话,网络就肯定会出现大面积的掉线问题。ARP攻击在现今的网络中频频出现,有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。英文原义:AddressResolutionProtocol中文释义:(RFC-826)地址解析协议局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址以保证通信的顺利进行。注解:简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过MAC地址两个主机就可以实现数据传输了。应用:在安装了以太网网络适配器的计算机中都有专门的ARP缓存,包含一个或多个表,用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息,可以使用arp命令来完成,比如在WindowsXP的命令提示符窗口中键入“arp-a”或“arp-g”可以查看ARP缓存中的内容;键入“arp-dIPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。arp命令的其他用法可以键入“arp /?”查看到.
简单来说就是有个机子中了病毒,它伪造IP地址和你冲突,或是伪造网关,便你的计算机不能正常的接收数据,从而掉线 ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话,网络就肯定会出现大面积的掉线问题。ARP攻击在现今的网络中频频出现,有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。英文原义:AddressResolutionProtocol中文释义:(RFC-826)地址解析协议局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址以保证通信的顺利进行。注解:简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过MAC地址两个主机就可以实现数据传输了。应用:在安装了以太网网络适配器的计算机中都有专门的ARP缓存,包含一个或多个表,用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息,可以使用arp命令来完成,比如在WindowsXP的命令提示符窗口中键入“arp-a”或“arp-g”可以查看ARP缓存中的内容;键入“arp-dIPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。arp命令的其他用法可以键入“arp/?”查看到.黄金Ж羚羊回答时间2007-12-2620:53检举!.ˊ伤ㄋ这一年回答时间2007-12-2723:25 检举
这里没法看图片,如果你想看的话,就到这里来: http://www.net130.com/CMS/Pub/network/network_protocal/20201.htmARP协议概述IP数据包常通过以太网发送。以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来,以节约不必要的ARP通信。如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上, ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。图1 以太网上的ARP报文格式图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位,也就是4个八位组表示,在以后的图中,我们也将遵循这一方式。硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1。协议类型字段指明了发送方提供的高层协议类型,IP为0806(16进制)。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。当发出ARP请求时,发送方填好发送方首部和发送方IP地址,还要填写目标IP地址。当目标机器收到这个ARP广播包时,就会在响应报文中填上自己的48位主机地址。2 ARP使用举例我们先看一下linux下的arp命令(如果开始arp表中的内容为空的话,需要先对某台主机进行一个连接,例如ping一下目标主机来产生一个arp项):d2server:/home/kerberos# arpAddressHWtypeHWaddress Flags MaskIface211.161.17.254 ether 00:04:9A:AD:1C:0AC eth0Address:主机的IP地址Hwtype:主机的硬件类型Hwaddress:主机的硬件地址Flags Mask:记录标志,"C"表示arp高速缓存中的条目,"M"表示静态的arp条目。用"arp --a"命令可以显示主机地址与IP地址的对应表,也就是机器中所保存的arp缓存信息。这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为20分钟,起始时间从被创建时开始算起。d2server:/home/kerberos# arp -a(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0可以看到在缓存中有一条211.161.17.254相对应的arp缓存条目。d2server:/home/kerberos# telnet 211.161.17.21Trying 211.161.17.21...Connected to 211.161.17.21.Escape character is '^]'.^].telnet>quitconnetion closed.在执行上面一条telnet命令的同时,用tcpdump进行监听:d2server:/home/kerberos# tcpdump -e dst host 211.161.17.21tcpdump: listening on eth0我们将会听到很多包,我们取与我们arp协议相关的2个包:10.0 00:D0:F8:0A:FB:83FF:FF:FF:FF:FF:FFarp60who has 211.161.17.21 tell d2server20.002344(0.0021) 00:E0:3C:43:0D:2400:D0:F8:0A:FB:83arp60arp reply 211.161.17.21 is at 00:E0:3C:43:0D:24在第1行中,源端主机(d2server)的硬件地址是00:D0:F8:0A:FB:83。目的端主机的硬件地址是FF:FF:FF:FF:FF:FF,这是一个以太网广播地址。电缆上的每个以太网接口都要接收这个数据帧并对它进行处理。第1行中紧接着的一个输出字段是arp,表明帧类型字段的值是0x0806,说明此数据帧是一个ARP请求或回答。在每行中,单词后面的值60指的是以太网数据帧的长度。由于ARP请求或回答的数据帧长都是42字节(28字节的ARP数据,14字节的以太网帧头),因此,每一帧都必须加入填充字符以达到以太网的最小长度要求:60字节。第1行中的下一个输出字段arp who-has表示作为ARP请求的这个数据帧中,目的I P地址是211.161.17.21的地址,发送端的I P地址是d2server的地址。tcpdump打印出主机名对应的默认I P地址。从第2行中可以看到,尽管ARP请求是广播的,但是ARP应答的目的地址却是211.161.17.21(00:E0:3C:43:0D:24)。ARP应答是直接送到请求端主机的,而是广播的。tcpdump打印出arp reply的字样,同时打印出响应者的主机ip和硬件地址。在每一行中,行号后面的数字表示tcpdump收到分组的时间(以秒为单位)。除第1行外,每行在括号中还包含了与上一行的时间差异(以秒为单位)。这个时候我们再看看机器中的arp缓存:d2server:/home/kerberos# arp -a(211.161.17.254) at00:04:9A:AD:1C:0A [ether] on eth0(211.161.17.21) at00:E0:3C:43:0D:24 [ether] on eth0arp高速缓存中已经增加了一条有关211.161.17.21的映射。再看看其他的arp相关的命令:d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00d2server:/home/kerberos# arpAddressHWtypeHWaddressFlags Mask Iface211.161.17.254 ether 00:04:9A:AD:1C:0A Ceth0211.161.17.21ether 00:00:00:00:00:00CM eth0d2server:/home/kerberos# arp -a(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0(211.161.17.21) at 00:00:00:00:00:00 [ether] PERM on eth0可以看到我们用arp -s选项设置了211.161.17.21对应的硬件地址为00:00:00:00:00:00,而且这条映射的标志字段为CM,也就是说我们手工设置的arp选项为静态arp选项,它保持不变没有超时,不像高速缓存中的条目要在一定的时间间隔后更新。如果想让手工设置的arp选项有超时时间的话,可以加上temp选项d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 tempd2server:/home/kerberos# arp -a(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0(211.161.17.21) at 00:00:00:00:00:00 [ether] on eth0d2server:/home/kerberos# arpAddressHWtypeHWaddress Flags MaskIface211.161.17.254 ether 00:04:9A:AD:1C:0A Ceth0211.161.17.21ether 00:00:00:00:00:00 Ceth0可以看到标志字段的静态arp标志"M"已经去掉了,我们手工加上的是一条动态条目。请大家注意arp静态条目与动态条目的区别。在不同的系统中,手工设置的arp静态条目是有区别的。在linux和win2000中,静态条目不会因为伪造的arp响应包而改变,而动态条目会改变。而在win98中,手工设置的静态条目会因为收到伪造的arp响应包而改变。如果您想删除某个arp条目(包括静态条目),可以用下面的命令:d2server:/home/kerberos# arp -d 211.161.17.21d2server:/home/kerberos# arp -a(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0(211.161.17.21) aton eth0可以看到211.161.17.21的arp条目已经是不完整的了。还有一些其他的命令,可以参考linux下的man文档:d2server:/home/kerberos# man arpARP欺骗我们先复习一下上面所讲的ARP协议的原理。在实现TCP/IP协议的网络环境下,一个ip包走到哪里,要怎么走是靠路由表定义,但是,当ip包到达该网络后,哪台机器响应这个ip包却是靠该ip包中所包含的硬件mac地址来识别。也就是说,只有机器的硬件mac地址和该ip包中的硬件mac地址相同的机器才会应答这个ip包,因为在网络中,每一台主机都会有发送ip包的时候,所以,在每台主机的内存中,都有一个 arp--> 硬件mac 的转换表。通常是动态的转换表(该arp表可以手工添加静态条目)。也就是说,该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的硬件mac地址,如果没有找到,该主机就发送一个ARP广播包,于是,主机刷新自己的ARP缓存。然后发出该ip包。了解这些常识后,现在就可以谈在以太网络中如何实现ARP欺骗了,可以看看这样一个例子。3.1 同一网段的ARP欺骗图2 同一网段的arp欺骗如图2所示,三台主机A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AAB: ip地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB:BBC: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC一个位于主机B的入侵者想非法进入主机A,可是这台主机上安装有防火墙。通过收集资料他知道这台主机A的防火墙只对主机C有信任关系(开放23端口(telnet))。而他必须要使用telnet来进入主机A,这个时候他应该如何处理呢?我们这样考虑,入侵者必须让主机A相信主机B就是主机C,如果主机A和主机C之间的信任关系是建立在ip地址之上的。如果单单把主机B的ip地址改的和主机C的一样,那是不能工作的,至少不能可靠地工作。如果你告诉以太网卡设备驱动程序, 自己IP是192.168.0.3,那么这只是一种纯粹的竞争关系,并不能达到目标。我们可以先研究C这台机器如果我们能让这台机器暂时当掉,竞争关系就可以解除,这个还是有可能实现的。在机器C当掉的同时,将机器B的ip地址改为192.168.0.3,这样就可以成功的通过23端口telnet到机器A上面,而成功的绕过防火墙的限制。上面的这种想法在下面的情况下是没有作用的,如果主机A和主机C之间的信任关系是建立在硬件地址的基础上。这个时候还需要用ARP欺骗的手段让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址。我们可以人为的制造一个arp_reply的响应包,发送给想要欺骗的主机,这是可以实现的,因为协议并没有规定必须在接收到arp_echo后才可以发送响应包.这样的工具很多,我们也可以直接用snifferpro抓一个arp响应包,然后进行修改。你可以人为地制造这个包。可以指定ARP包中的源IP、目标IP、源MAC地址、目标MAC地址。这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的。下面是具体的步骤:他先研究192.0.0.3这台主机,发现这台主机的漏洞。根据发现的漏洞使主机C当掉,暂时停止工作。这段时间里,入侵者把自己的ip改成192.0.0.3他用工具发一个源ip地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A,要求主机A更新自己的arp转换表。主机更新了arp表中关于主机C的ip-->mac对应关系。防火墙失效了,入侵的ip变成合法的mac地址,可以telnet 了。上面就是一个ARP的欺骗过程,这是在同网段发生的情况,但是,提醒注意的是,在B和C处于不同网段的时候,上面的方法是不起作用的。3.2 不同网段的ARP欺骗图3 不同网段之间的ARP欺骗如图3所示A、C位于同一网段而主机B位于另一网段,三台机器的ip地址和硬件地址如下:A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AAB: ip地址 192.168.1.2 硬件地址 BB:BB:BB:BB:BB:BBC: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC在现在的情况下,位于192.168.1网段的主机B如何冒充主机C欺骗主机A呢?显然用上面的办法的话,即使欺骗成功,那么由主机B和主机A之间也无法建立telnet会话,因为路由器不会把主机A发给主机B的包向外转发,路由器会发现地址在192.168.0.这个网段之内。现在就涉及到另外一种欺骗方式―ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。什么是ICMP重定向呢?ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器也会把初始数据报向它的目的地转发。我们可以利用ICMP重定向报文达到欺骗的目的。下面是结合ARP欺骗和ICMP重定向进行攻击的步骤:为了使自己发出的非法ip包能在网络上能够存活长久一点,开始修改ip包的生存时间ttl为下面的过程中可能带来的问题做准备。把ttl改成255. (ttl定义一个ip包如果在网络上到不了主机后,在网络上能存活的时间,改长一点在本例中有利于做充足的广播)下载一个可以自由制作各种包的工具(例如hping2)然后和上面一样,寻找主机C的漏洞按照这个漏洞当掉主机C。在该网络的主机找不到原来的192.0.0.3后,将更新自己的ARP对应表。于是他发送一个原ip地址为192.168.0.3硬件地址为BB:BB:BB:BB:BB:BB的ARP响应包。好了,现在每台主机都知道了,一个新的MAC地址对应192.0.0.3,一个ARP欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。自己定制一个ICMP重定向包告诉网络中的主机:"到192.0.0.3的路由最短路径不是局域网,而是路由,请主机重定向你们的路由路径,把所有到192.0.0.3的ip包丢给路由。"主机A接受这个合理的ICMP重定向,于是修改自己的路由路径,把对192.0.0.3的通讯都丢给路由器。入侵者终于可以在路由外收到来自路由内的主机的ip包了,他可以开始telnet到主机的23口。其实上面的想法只是一种理想话的情况,主机许可接收的ICMP重定向包其实有很多的限制条件,这些条件使ICMP重定向变的非常困难。TCP/IP协议实现中关于主机接收ICMP重定向报文主要有下面几条限制:新路由必须是直达的重定向包必须来自去往目标的当前路由重定向包不能通知主机用自己做路由被改变的路由必须是一条间接路由由于有这些限制,所以ICMP欺骗实际上很难实现。但是我们也可以主动的根据上面的思维寻找一些其他的方法。更为重要的是我们知道了这些欺骗方法的危害性,我们就可以采取相应的防御办法。3.3 ARP欺骗的防御知道了ARP欺骗的方法和危害,我们给出一些初步的防御方法:不要把你的网络安全信任关系建立在ip地址的基础上或硬件mac地址基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。在linux下可以用ifconfig -arp可以使网卡驱动程序停止使用ARP。使用代理网关发送外出的通讯。修改系统拒收ICMP重定向报文在linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。在win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。4 代理ARP的应用代理ARP有两大应用,一个是有利的就是我们在防火墙实现中常说的透明模式的实现,另一个是有害的就是通过它可以达到在交换环境中进行嗅探的目的.由此可见同样一种技术被应用于不同的目的,效果是不一样的.我们先来看交换环境中局域网的嗅探.通常在局域网环境中,我们都是通过交换环境的网关上网的。在交换环境中使用NetXray或者NAI Sniffer一类的嗅探工具除了抓到自己的包以外,是不能看到其他主机的网络通信的。但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。ARP协议是将IP地址解析为MAC地址的协议,局域网中的通信都是基于MAC地址的。图4 交换网络中的ARP欺骗如图4所示,三台主机位于一个交换网络的环境中,其中A是网关:A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AAB: ip地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BBC:ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC在局域网中192.168.0.2和192.168.0.3都是通过网关192.168.0.1上网的,假定攻击者的系统为192.168.0.2,他希望听到192.168.0.3的通信,那么我们就可以利用ARP欺骗实现。这种欺骗的中心原则就是arp代理的应用.主机A是局域网中的代理服务器,局域网中每个节点的向外的通信都要通过它.主机B想要听主机C的通信,它需要先使用ARP欺骗,让主机C认为它就是主机A,这个时候它发一个IP地址为192.168.0.1,物理地址为BB:BB:BB:BB:BB:BB的ARP响应包给主机C,这样主机C会把发往主机A的包发往主机B.同理,还要让网关A相信它就是主机C,向网关A发送一个IP地址为192.168.0.3,物理地址为BB:BB:BB:BB:BB:BB的包.上面这一步的操作和前面的ARP欺骗的原理是一样的,但是还是有问题,过一段时间主机B会发现自己无法上网.所以下面还有一个步骤就是需要在主机B上转发从主机A到主机C的包,并且转发从主机C到主机A的包.现在我们可以看到其实主机B在主机A和主机C的通讯中起到了一个代理的作用,这就是为什么叫做ARP代理的原因.具体实现要用到两个工具dsniff和fragrouter,dsniff用来实现ARP欺骗,fragroute用来进行包的转发.首先利用dsniff中的arpspoof来实现ARP欺骗,dsniff软件可以在下面的网址下载:http://naughty.monkey.org/~dugsong/dsniff安装这个软件包之前先要下载安装libnet.欺骗192.168.0.3,告诉这台机器网关192.168.0.1的MAC地址是192.168.0.2的MAC地址.[root@sound dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.3 192.168.0.1欺骗192.168.0.1,告诉192.168.0.1主机192.168.0.3的MAC地址是192.168.0.2的MAC地址。[root@sound dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.1 192.168.0.3现在我们已经完成了第一步的欺骗,这个欺骗是通过arpspoof来完成的,当然您也可以使用别的工具甚至自己发包来完成.现在我们可以看到在主机A和主机C的arp列表里面都完成了我们需要的工作.在后面的透明代理中我们将使用另外一种不同的理念.下面我们先打开linux系统中的转发包的选项:[root@sound /root]# echo "1" >/proc/sys/net/ipv4/ip_forward下面我们可以下载大名鼎鼎的dugsong的另外一个工具fragroute,这个工具以前叫做fragrouter(仅有1字的差别)主要用于实现入侵检测系统处理分片的ip和tcp包功能的检测,本身自代包转发的功能.可以到下面的网站下载:http://monkey.org/~dugsong/fragroute/安装这个软件包之前先要下载安装libpcap和libevent.当然我们也可以使用fragrouter来完成:http://www.packetstormsecurity.org/groups/w00w00/sectools/fragrouter/[root@sound fragrouter-1.6]# ./fragrouter -B1fragrouter: base-1: normal IP forwarding现在就可以实现在交换局域网中嗅探的目标.当然上面这些只是一些原理性的介绍,在真正的使用中会遇到很多的问题,比如如何实现对网关A和主机C的欺骗,以及如何处理可能出现的广播风暴问题,这些可以在实践中学习.还有一个叫arpsniff的工具能够很方便的完成这一功能,很多网站都提供下载,界面比较友好,由于和上面的原理一样,只是工具使用上的不同并且添加了一些附加的功能,所以这里不在进行介绍.代理ARP的另外一个应用就是防火墙的透明代理的实现.我们都知道早期的防火墙大都是基于路由模式,也就是防火墙要完成一个路由的作用.这种接入方式需要在局域网内的主机上设置防火墙的IP为代理,而且需要在外部路由器的路由表中加入一条指向防火墙的路由.这种方式的缺点在于不透明,需要进行过多的设置,并且破坏了原有的网络拓扑.所以现在几乎全部的防火墙都实现了一种透明接入的功能,用户的路由器和客户端不用做任何修改,用户甚至感觉不到透明接入方式防火墙的存在.这种透明接入的原理就是ARP代理.我们现在看如何配置一台主机作为透明接入模式的防火墙(透明接入的防火墙不需要IP),图5如图5所示,一台防火墙连接内部网段和DMZ网段到外部路由.我们在这台用作防火墙的主机上使用linux操作系统,这样我们可以方便的使用iptables防火墙.假设三块网卡为eth0,eth1和eth2,eth0和路由器相连,eth1和内网相连.eth2和外网相连.假设DMZ区有2台服务器.内网地址:192.168.1.0/24DMZ地址:192.168.1.2---192.168.1.3路由器的ip地址:192.168.1.1eth0:AA:AA:AA:AA:AA:AAeth1:BB:BB:BB:BB:BB:BBeth2:CC:CC:CC:CC:CC:CC和前面差不多,第一步需要实现ARP欺骗,这次我们有个简单的实现.我们把路由器的IP地址和防火墙的eth1和eth2的网卡物理地址绑定,将内网和DMZ网段的IP地址和eth0的网卡绑定,在linux系统上我们用arp命令实现:arp -s 192.168.1.1 BB:BB:BB:BB:BB:BBarp -s 192.168.1.1 CC:CC:CC:CC:CC:CCarp -s 192.168.1.0/24 AA:AA:AA:AA:AA:AA第二部我们需要在基于linux的防火墙上设置路由,把目标地址是外部路由的包转发到eth0,把目标地址为内网的包转发到eth1,把目标地址是DMZ网段服务器的包转发到eth2.在linux下面用route命令实现route add 192.168.1.1 dev eth0route add -net 192.168.1.0/24dev eth1route add 192.168.1.2dev eth2route add 192.168.1.3dev eth3(针对DMZ网段里面的每台服务器都要增加一条单独的路由) 现在我们就已经实现了一个简单的arp代理的透明接入,当然对应于防火墙的iptables部分要另外配置,iptables的配置不在本文范畴之内.小结 本文介绍了ARP协议以及与其相关的安全问题。一个重要的安全问题就是ARP欺骗,我们讲到了同一网段的ARP欺骗以及跨网段的ARP欺骗和ICMP重定向相结合的方法。由于有这些安全问题的存在,我们给出一些最基本的解决办法。最后谈到了利用代理ARP实现在交换网络中嗅探和防火墙的透明接入。
arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议,或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。 为什么要将ip转化成mac呢?简单的说,这是因为在tcp网络环境下,一个ip包走到哪里,要怎么走是靠路由表定义。但是,当ip包到达该网络后,哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别。也就是说,只有机器的mac地址和该ip包中的mac地址相同的机器才会应答这个ip包。因为在网络中,每一台主机都会有发送ip包的时候。所以,在每台主机的内存中,都有一个arp-->mac的转换表。通常是动态的转换表(注意在路由中,该arp表可以被设置成静态)。也就是说,该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的mac地址而决定的。通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的mac地址。如果没有找到,该主机就发送一个ARP广播包,看起来象这样子:"我是主机xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip为xxx.xxx.xxx.xx1的主机请告之你的mac来"ip为xxx.xxx.xxx.xx1的主机响应这个广播,应答ARP广播为:"我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2"于是,主机刷新自己的ARP缓存,然后发出该ip包。了解这些常识后,现在就可以谈在网络中如何实现ARP欺骗了,可以看看这样一个例子:一个入侵者想非法进入某台主机,他知道这台主机的防火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机,所以他要这么做:1、他先研究192.0.0.3这台主机,发现这台95的机器使用一个oob就可以让他死掉。2、于是,他送一个洪水包给192.0.0.3的139口,于是,该机器应包而死。3、这时,主机发到192.0.0.3的ip包将无法被机器应答,系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。4、这段时间里,入侵者把自己的ip改成192.0.0.35、他发一个ping(icmp0)给主机,要求主机更新主机的arp转换表。6、主机找到该ip,然后在arp表中加入新的ip-->mac对应关系。 7、防火墙失效了,入侵的ip变成合法的mac地址,可以telnet了。
本文由 在线网速测试 整理编辑,转载请注明出处。
