arp协议数据包的分析
arp也就是地址解析协议,我们要访问外网,不知道对方的mac地址就需要arp来进行请求然后知道后就可以请求网关来进行通信。
<a>复制代码</a>
地址解析协议,即arp(address resolution protocol),是根据ip地址获取物理地址的一个tcp/ip协议。主机发送信息时将包含目标ip地址的arp请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该ip地址和物理地址存入本机arp缓存中并保留一定时间,下次请求时直接查询arp缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送arp应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机arp缓存;由此攻击者就可以向某一主机发送伪arp应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个arp欺骗。arp命令可用于查询本机arp缓存中ip地址和mac地址的对应关系、添加或删除静态对应关系等。相关协议有rarp、代理arp。ndp用于在ipv6中代替地址解析协议。
他的工作过程如下:
主机a的ip地址为192.168.1.1,mac地址为0a-11-22-33-44-01;
主机b的ip地址为192.168.1.2,mac地址为0a-11-22-33-44-02;
当主机a要与主机b通信时,地址解析协议可以将主机b的ip地址(192.168.1.2)解析成主机b的mac地址,以下为工作流程:
第1步:根据主机a上的路由表内容,ip确定用于访问主机b的转发ip地址是192.168.1.2。然后a主机在自己的本地arp缓存中检查主机b的匹配mac地址。
第2步:如果主机a在arp缓存中没有找到映射,它将询问192.168.1.2的硬件地址,从而将arp请求帧广播到本地网络上的所有主机。源主机a的ip地址和mac地址都包括在arp请求中。本地网络上的每台主机都接收到arp请求并且检查是否与自己的ip地址匹配。如果主机发现请求的ip地址与自己的ip地址不匹配,它将丢弃arp请求。
第3步:主机b确定arp请求中的ip地址与自己的ip地址匹配,则将主机a的ip地址和mac地址映射添加到本地arp缓存中。
第4步:主机b将包含其mac地址的arp回复消息直接发送回主机a。
第5步:当主机a收到从主机b发来的arp回复消息时,会用主机b的ip和mac地址映射更新arp缓存。本机缓存是有生存期的,生存期结束后,将再次重复上面的过程。主机b的mac地址一旦确定,主机a就能向主机b发送ip通信了。
平时在解决网站问题排查上,讲到的这些是否用到了呢?
如果想查看arp缓存表可以ctrl+r 输入cmd 打开命令提示符然后输入arp -a
相信大家都听到过arp欺骗,其实就是欺骗了mac当请求的时候就到了hack手里,这样我们看什么都由他们进行控制,你的信息也完全可以被监控到。
那么怎么去解决呢?arp绑定,在路由器上把ip和mac地址进行绑定即可。
图片中就是我们不知道对方mac时发起的全f广播请求,这样来获得地址。
看了本节是否有收获呢?