ARP和ARP欺骗详解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ARP/RARP数据
• 操作类型:ARP/RARP的请求和应答帧都采用同一种 帧格式,此字段表示ARP/RARP帧的类型,1:ARP请 求;2:ARP应答;3:RARP请求;4:RARP应答
• 发送端以太网地址:即发送端的MAC地址
• 发送端IP地址:如果此帧为ARP请求帧(操作类型为1), 发出请求的主机在请求对方的MAC地址时,同时告 知对方自己的IP地址
• 若目标主机与源主机不在同一网段,中间需要经 过路由器时,就会出现多次ARP地址解析
ARP请求 A
路 ARP请求
由
B
ARP应答 器
ARP应答
ARP缓存
• ARP请求是数据链路层的广播包,如果经常出 现,必然增加网络负担,为了避免这种情况, 加入了ARP缓存设计
• ARP缓存中记录了常用设备的IP/MAC地址 • 系统每次要解析MAC地址前,先在ARP缓存中
• 目标端MAC地址:ARP请求包中此字段为空
• 目标端IP地址:ARP请求需要转换的IP地址
ARP工具程序
• Windows系列操作系统提供arp.exe工具程序, 用以查看与编辑arp缓存的记录
• arp –a:查看arp缓存中目前的记录 • arp –d:删除arp缓存中所有记录 • arp –d [IP地址]:删除arp缓存中指定记录 • arp –s [IP地址] [MAC地址]:在arp缓存中添加一
ARP运作方式
• ARP应答:网段内所有主机都会收到此ARP请求 的广播信息包,并与自身的IP地址对比,确定自 己是否为要解析的对象,只有B主机是要解析的 对象,因此B主机发送ARP应答包,通知A主机自 己的MAC地址
ARP 应答
ARP 应答
来自百度文库RP运作方式
• 因为B主机已经从ARP请求信息包得知A主机的 IP地址与MAC地址,ARP应答包就不必再使用广 播方式,可直接指定A主机的MAC地址为目标 地址
地址解析协议ARP
• IP地址是网络层的概念,IP数据包要在数据链 路层上传输,必须使用数据链路层地址,在以 太网上,数据链路层使用的是48位的MAC地址
• 网络层传递信息包给数据链路层时,必须先取
得目标设备的MAC地址
• 在TCP/IP协议中使用地址解析 32位IP地址
协议ARP来取得网络层地址
存中,下次使用时不必再发送广
系,可通过手动方
播包,而直接从缓存中读取,这
式将该记录加入到
种由ARP自动产生的记录称为动态 ARP缓存中,称为静
记录。动态记录有一定的寿命时
态记录。
间,超时就会被自动删除,以避 免出现网络黑洞。 生命周期:最近一次使用后2分钟, 重启电脑会自动清除
生命周期:不同操作系 统有所不同(XP系统重 启电脑会消失,Win7 系统重启电脑也不会消 失)
ARP
(IP地址)对应的数据链路层
地址(MAC地址)
48位MAC地址
ARP运作方式
• 网络上设备的IP地址与MAC地址间的对应关系, 并未集中记录在某个数据库中,因此,ARP欲取 得某设备的MAC地址时,必须直接向该设备询 问
• ARP的整个运作过程由ARP请求和ARP应答两种 数据包组成
• 在一个网段中有A、B两台主机,A主机已经知道 B主机的IP地址,A要向B传送IP信息包时,此时 必须先利用ARP协议取得B主机的MAC地址
• 协议类型:表示要映射的协议地址的类型,其值为 0x0800时表示将硬件地址转换为IP地址
ARP数据包格式
以太网 以太网 帧 硬件 协议 硬件
协议 操作 发送端 发送端 目标端 目标端
目标地址 源地址 类型 类型 类型 地址长度 地址长度 类型 以太网地址 IP地址 以太网地址 IP地址
以太网首部
ARP运作方式
• ARP请求:A发出ARP请求包广播到网段上所有计算机 (以太网广播包的目标MAC地址:FF-FF-FF-FF-FF-FF), 该网段上的每一台计算机都会收到这一信息包
• ARP请求信息包中除包括要解析对象(B主机)的IP地 址外,还会包含A主机的IP地址和MAC地址
ARP 请求
ARP请求
• 同时B主机将A主机的MAC地址存入ARP缓存, 以备将来使用
• A主机得到B主机的MAC地址后,把它作为以太 网数据帧的目标地址向B主机发送数据
• 同时A主机将刚刚得到的B主机的MAC地址存入 ARP缓存
跨网段的ARP解析
• 以太网广播包只能在同一网段内传送,路由器会 挡住以太网广播信息包,使之无法跨越到其他网 段,因此ARP只能解析同一网段内的MAC地址, 无法解析其他网段的MAC地址
反向地址解析协议RARP
• 反向地址解析RARP可以由MAC地址解析出 相应的IP地址,主要用于无盘工作站在引导 时提供MAC地址到IP地址的映射
32位IP地址
ARP
RARP
48位MAC地址
ARP数据包格式
以太网 以太网 帧 硬件 协议 硬件
协议 操作 发送端 发送端 目标端 目标端
目标地址 源地址 类型 类型 类型 地址长度 地址长度 类型 以太网地址 IP地址 以太网地址 IP地址
以太网首部
ARP/RARP数据
• 以太网目标地址:MAC地址全1表示广播地址(FF-FFFF-FF-FF-FF)
• 以太网源地址:发送主机的MAC地址 • 帧类型:以太网数据帧可以传送ARP/RARP数据包,
也可以传送IP数据包。帧类型指明后面数据的类型, ARP/RARP数据包的帧类型为0x0806 • 硬件类型:表示硬件地址的类型,1表示以太网地址
查看是否有记录,若ARP缓存中有记录,则直 接使用,若没有记录,才发出ARP请求信息包 • ARP缓存可以加快地址解析的过程,避免过多 的ARP请求数据包 • ARP缓存中的记录有动态和静态两种记录
ARP缓存
动态
静态
记录 ARP广播包完成每条IP/MAC地 记录 若已知某设备的
址解析后,会将结果存储在ARP缓 IP/MAC地址对应关
ARP和ARP欺骗
ARP
• ARP是处于网络层的IP协议的辅助协议 • ARP:地址解析协议
Address Resolution Protocol • 网络层在传递信息包时,利用网络层地址
(如:IP地址)来识别目标设备 • 数据链路层在传递信息包时,利用数据链
路层地址(以太网中使用MAC地址)来识 别目标设备