萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> CERNET 網絡應急響應組

CERNET 網絡應急響應組

鑒於目前ARP欺騙對局域網安全運行造成的影響,我們收集整理了這個ARP欺騙病毒的專題,希望 能給您的網絡安全運行帶來幫助!我們將從下面幾個方面來講解ARP欺騙病毒的原理及防治辦法: 1、什麼是ARP協議 要想了解ARP欺騙攻擊的原理,首先就要了解什麼是ARP協議。 ARP是地址轉換協議(Address Resolution Protocol)的英文縮寫,它是一個鏈路層協議,工作在OSI 模型的第二層,在本層和硬件接口間進行聯系,同時對上層(網絡層)提供服務。我們知道二層的以 太網交換設備並不能識別32位的IP地址,它們是以48位以太網地址(就是我們常說的MAC地址)傳輸 以太網數據包的。也就是說IP數據包在局域網內部傳輸時並不是靠IP地址而是靠MAC地址來識別目標 的,因此IP地址與MAC地址之間就必須存在一種對應關系,而ARP協議就是用來確定這種對應關系的 協議。ARP工作時,首先請求主機會發送出一個含有所希望到達的IP地址的以太網廣播數據包,然 後目標IP的所有者會以一個含有IP和MAC地址對的數據包應答請求主機。這樣請求主機就能獲得要 到達的IP地址對應的MAC地址,同時請求主機會將這個地址對放入自己的ARP表緩存起來,以節約不 必要的ARP通信。ARP緩存表采用了老化機制,在一段時間內如果表中的某一行沒有使用(windows系 統這個時間為2分鐘,而Cisco路由器的這個時間為5分鐘),就會被刪除,這樣可以大大減少ARP緩 存表的長度,加快查詢速度。通過下面的例子我們可以很清楚的看出ARP的工作機制。

\"ARP原理\" .

如上圖所示,假如我們有兩個網段、三台主機、兩個網關、分別是: 主機名 IP地址 MAC地址 網關1 192.168.1.1 01-01-01-01-01-01 主機A 192.168.1.2 02-02-02-02-02-02 主機B 192.168.1.3 03-03-03-03-03-03 網關2 10.1.1.1 04-04-04-04-04-04 主機C 10.1.1.2 05-05-05-05-05-05 假如主機A要與主機B通訊,它首先會通過網絡掩碼比對,確認出主機B是否在自己同一網段內,如果 在它就會檢查自己的ARP緩存中是否有192.168.1.3這個地址對應的MAC地址,如果沒有它就會向局域 網的廣播地址發送ARP請求包,大致的意思是192.168.1.3的MAC地址是什麼請告訴192.168.1.2,而 廣播地址會把這個請求包廣播給局域網內的所有主機,但是只有192.168.1.3這台主機才會響應

copyright © 萬盛學電腦網 all rights reserved