ARP简介及ARP病毒原理
近几个月以来公司的网络经常掉线甚至是大面积掉线,一开始以为是电信问题,向电信反映了多次,他们也上门了好几次,测得光路和网路都正常,就是经过路由器以后网络很不稳定,每次重启路由器后又可以上网了,但好景不长掉线的问题依然存在。公司的网管也没找出根本的原因,怀疑是路由器或者网内HUB的问题但公司领导又没意思去更换,就是不重视了。掉线的问题实在烦人,每次不是更新下网卡IP就是修复下“本地连接”又可以上网了,没根本解决问题呀,没招只好请教高人了,刚才到“赢政天下论坛”发帖咨询,得到了个概念“ARP攻击”,描述结论判断很可能是局域网的某台机子中了“ARP病毒”导致网内掉线。什么是“ARP”呢?不知道这个怎么处理问题呢,了解下吧。
我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。
一、什么是ARP协议
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
二、ARP协议的工作原理
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的.
我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
三、如何查看ARP缓存表
ARP缓存表是可以查看的,也可以添加和修改。在命令提示符下,输入“arp -a”就可以查看ARP缓存表中的内容了。用“arp -d”命令可以删除ARP表中某一行的内容;用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。
四、ARP欺骗
其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。
作为网吧路由器的厂家,对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做,称其为IP-MAC双向绑定。
ARP简介及ARP病毒原理相关推荐
- 深入剖析ARP地址欺骗病毒原理及欺骗过程
ARP地址欺骗类病毒发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,它的危害比一些蠕虫还要严重.本文从网络结构模型深入浅出的向大家讲解了ARP病毒及ARP地址欺骗的原理及表现形式. AD: ...
- ARP病毒专杀工具 ARP病毒***原理和解决方案
ARP病毒清除方法: ARP病毒专杀工具下载地址: 趋势科技ARP病毒专杀工具 下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒. PS:新ARP ...
- 解决ARP攻击的方法和原理(转)
[故障原因] 局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序). [故障原理] 要了解故障原理,我们先来了解一下ARP协议. 在局域网中,通过ARP协议 ...
- 网络转载:局域网安全:解决ARP攻击的方法和原理
局域网安全:解决ARP攻击的方法和原理 IT世界网2006-01-26 10:17 [故障原因] 局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序). [ ...
- ARP协议简介、ARP风险及缓解办法
ARP协议简介.ARP风险及缓解办法 IP地址和MAC地址简介 局域网中目的MAC地址的作用 ARP协议 ARP风险 ARP风险的缓解办法 ARP协议的详细讲解,可以参考视频<电子科技大学TCP ...
- ARP和RARP协议工作原理
ARP和RARP协议工作原理 MAC地址与IP地址是计算机网络通信中非常重要的两类地址,缺一不可.因为在OSI/RM网络层以上是通过IP地址进行寻址的,而在OSI/RM网络层以下则是通过MAC地址进行 ...
- 【新星计划-2023】ARP“攻击”与“欺骗”的原理讲解
网络管理员在网络维护阶段需要处理各种各样的故障,出现最多的就是网络通信问题.除物理原因外,这种现象一般是ARP攻击或ARP欺骗导致的.无论是ARP攻击还是ARP欺骗,它们都是通过伪造ARP应答来实现的 ...
- Linux_网络_数据链路层协议 MAC帧/ARP协议 (以太网通信原理,MAC地址与IP地址的区分,MTU对IP/TCP/IP的影响,ARP协议及其通信过程)
文章目录 1. 以太网(基于碰撞区与碰撞检测的局域网通信标准) 2. 以太网的帧格式(MAC帧) MAC地址,IP地址的区分 MTU MTU对IP协议的影响 MTU对TCP/UDP协议的影响 3.AR ...
- ARP帧、ARP过程、免费ARP、ACD的原理
ARP协议(地址解析协议)用于局域网中网络设备按IP地址查询对方的MAC地址,提供一种从网络地址(仅ipv4,ipv6用ND协议替代)到硬件地址(各种链路层协议使用的地址)的映射. 1.ARP过程 简 ...
最新文章
- 高阶数据结构:SSTable
- csdn的博客文化真好
- js对象赋值只保留存在的属性_js对象的创建对象模式和继承模式(上)---构建对象模式...
- markdown编辑数学公式
- oracle 11g for windows卸载
- HLW8032做220V电量采集方案测试
- 【转】常用0x000000类型颜色代码表
- java视频会议系统 mcu_视频会议系统必须要用MCU吗
- 给2011年的MacBook Pro和MacBook Air升级到最新系统和做双系统时遇到的问题
- SpringMVC之405错误码
- 【华为诺亚方舟实验室】2021届毕业生招聘
- 计算机专业 中职学校顶岗实习学校总结,中职学校顶岗实习论文(2)
- ajax 数据接收,前端数据获取之Ajax篇
- 九月英语总结——不同凡响
- python怎么画三维函数图像_python中如何画三维的图形?
- 微信小程序实现微信支付
- 深度解析ConcurrentHashMap
- 打开桌面计算机投屏到扩展屏,电脑投屏到电视显示不完全解决办法
- 卡诺图直接化简为最简或与式
- 淮北市第四届机器人比赛_“皖新传媒”杯2019年淮北市中小学生机器人大赛圆满结束...