ARP协议的缺陷分析
ARP主要是利用伪造的IP/MAC映射关系来骗取其他主机的信任.从而达到非法截获网络内其他主机之间的通信数据。
ARP协议的安全漏洞来源于协议自身设计上的不足.ARP协议被设计成一种可信任协议。缺乏合法性验证手段。
ARP协议是一个高效的数据链路层协议.但是设计初衷是方便数据的传输.设计前提是网络绝对安全的情况.ARP协议是建立在局域网主机相互信任的基础之上.ARP具有广播性、无状态性、无认证性、无关性和动态性等一系列的安全缺陷。
(1)ARP协议寻找MAC地址是广播方式的。攻击者可以应答错误的MAC地址.同时攻击者也可以不问断地广播ARP请求包.造成网络的缓慢甚至网络阻塞;
(2)ARP协议是无状态和动态的。任意主机都可以在没有请求的情况下进行应答.且任何主机只要收到网络内正确的ARP应答包.不管它本身是否有ARP 请求。都会无条件的动态更新缓存表;
(3)ARP协议是无认证的。ARP协议默认情况下是信任网络内的所有节点.只要是存在ARP缓存表里的IP/MAC映射以及接收到的ARP应答中的IP/MAC 映射关系.ARP都认为是可信任的.并没有对IP/MAC映射的真实性,有效性进行检验.也没有维护映射的一致性。
详细分析:
ARP实现分析
ARP的整个工作还有一些其它的一些函数,这些函数与本文的研究关系不大,因此不作说明。在ARP的工作过程中有以下几个方面安全问题值得关注:
(1)如果有一个伪造的ARP分组(这个分组中的发送者IP地址不是本机的IP地址,但发送者硬件地址是本机的,它伪造了一个IP—MAC映射),以太网接口输出处理函数只是构造一个以太首部封装此分组并把它放到输出队列,不判断该分组中的发送者IP—MAC映射是否与本机信息相符,因此,这个伪造分组不会被作为非法分组丢弃,从而可能造成伪造ARP 分组顺利发送,而伪造ARP分组会影响网络的运行和安全。当然,如果进行ARP分组的检查,则势必影响通信速度,在早期的可信网络中这种做法是多余的,所以ARP设计上没有
包检查的操作。ARP帧中以太网首部的以太网源地址等于ARP分组中的发送方硬件地址,这在设计上是重复的内容,黑客可以修改ARP分组中的发送方硬件地址为一个非法的硬件地址,但以太网接口输入函数在处理中并不进行此项验证,而是将一个不包含以太首部的分组放入ARP输入队列,这样就造成部分伪造包被送到ARP输入处理函数。
(2)通过ARP接收处理过程可以看到,如果收至UARP分组,只要其中的发送方IP地址在ARP高速缓存中能被搜索到,那么这个ARP结点的硬件地址信息就能被改写为新的硬件地址,而不管这个ARP分组中的发送者硬件地址是否有效,另外,虽然ARP高速缓存中没有相匹配的项,但如果本机是目的主机,那么也会创建一个ARP结点。这有以下三种可能:
①ARP的正常处理流程是创建一个新的ARP结点,保持待发送的数据,然后发送一个ARP广播请求,等待ARP单播应答到达之后,更新ARP结点并将保持的数据发送出去。很明显,等待期间,任何合适的应答都可以被接受,而这个应答也可以是伪造的。
②如果未发送ARP请求却收到一个ARP应答包,ARP处理中并不管是否发送过ARP 请求,只是判断发送发IP地址和目的IP地址,仍然允许根据此应答的信息修改ARP高速缓存中的信息,如果该ARP应答包的目标IP地址是本机IP地址,而且ARP高速缓存中没有此口的对应映射,则会创建新的ARP结点,但这种应答是伪造的。因此,如果收到来自两个不同主机的ARP应答包(其中的发送方口地址相同,但发送方硬件地址不同,其中有一个是伪造包),系统会首先对第一个ARP应答包进行响应,然后相应第二个包时则会修改该硬件地址。如果第一个为实际主机的硬件地址,那么则会被修改为伪造的硬件地址,而这个伪造的硬件地址有可能是其它主机的硬件地址,也可能是一个不存在的硬件地址。
③ARP协议实现在收到一个目的地址不是本机地址的ARP包,本机其实不是通信的另一方,但如果存在一个与此相匹配的ARP结点,而且此包中的发送方硬件地址发生了变化,那么原有的ARP结点信息会被更新,这样在一定程度上提高了通信效率,但同样造成了安全隐患。
总的来说,ARP协议及其实现中缺少检查ARP包被伪造包的处理,而且对ARP高速缓存的更新不严密,这两点造成了ARP协议的不安全。
计算机网络 实 验 报 告 学院软件学院 年级2013 班级4班 学号3013218158 姓名闫文雄 2015 年 6 月17 日
目录 实验名称----------------------------------------------------------------------------------- 1 实验目标----------------------------------------------------------------------------------- 1 实验内容----------------------------------------------------------------------------------- 1 实验步骤----------------------------------------------------------------------------------- 1 实验遇到的问题及其解决方法-------------------------------------------------------- 1 实验结论----------------------------------------------------------------------------------- 1
一、实验名称 ARP协议分析 二、实验目标 熟悉ARP命令的使用,理解ARP的工作过程,理解ARP报文协议格式 三、实验内容以及实验步骤: (局域网中某台计算机,以下称为A计算机) ARP(地址解析协议): 地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP 请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。 ARP是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。ARP 命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议 1、在DOS窗口中运行ARP命令,参照ARP命令给出的帮助,解释下列命令的用 途;: ARP -s inet_addr eth_addr [if_addr] 用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应,类型为static(静态),此项存在硬盘中,而不是缓存表,计算机重新启动后仍然存在,且遵循静态优于动态的原则,所以这个设置不对,可能导致无法上网. ARP -d inet_addr [if_addr] 删除指定的 IP 地址项,此处的 inet_addr 代表 IP 地址。对于指定的接口,要删除表中的某项,请使用 if_addr 参数,此处的 if_addr 代表指派给该接口的 IP 地址。要删除所有项,请使用星号 (*) 通配符代替 inet_addr。
arp协议实现的功能是什么 地址解析协议,即ARP(Address Resolu TI on Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。那么ARP协议有什么作用且工作原理如何呢? arp协议的作用: 主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP 应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。 ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。
arp协议的工作原理: 首先,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP 请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。 网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的
ARP (地址解析协议) 地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP 缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。 功能 地址解析协议由互联网工程任务组(IETF)在1982年11月发布的RFC 826中描述制定。 [1]地址解析协议是IPv4中必不可少的协议,而IPv4是使用较为广泛的互联网协议版本(IPv6仍处在部署的初期)。 OSI模型把网络工作分为七层,IP地址在OSI模型的第三层,MAC地址在第二层,彼此不直接打交道。在通过以太网发送IP数据包时,需要先封装第三层(32位IP地址)、第二层(48位MAC地址)的报头,但由于发送时只知道目标IP地址,不知道其MAC地址,又不能跨第二、三层,所以需要使用地址解析协议。使用地址解析协议,可根据网络层IP 数据包包头中的IP地址信息解析出目标硬件地址(MAC地址)信息,以保证通信的顺利进行。
竭诚为您提供优质文档/双击可除 arp协议栈 篇一:实验2地址解析协议aRp 实验2地址解析协议(aRp) 【实验目的】 1.掌握aRp协议的报文格式 2.掌握aRp协议的工作原理 3.理解aRp高速缓存的作用 4.掌握aRp请求和应答的实现方法 5.掌握aRp缓存表的维护过程 【学时分配】 2学时 【实验环境】 该实验采用网络结构二 【实验原理】 一、物理地址与逻辑地址 1.物理地址 物理地址是节点的地址,由它所在的局域网或广域网定义。物理地址包含在数据链路层的帧中。物理地址是最低一
级的地址。 物理地址的长度和格式是可变的,取决于具体的网络。以太网使用写在网络接口卡(nic)上的6字节的标识作为 物理地址。 物理地址可以是单播地址(一个接收者)、多播地址(一组接收者)或广播地址(由网络中的所有主机接收)。有些 网络不支持多播或广播地址,当需要把帧发送给一组主机或所有主机时,多播地址或广播地址就需要用单播地址来模拟。 2.逻辑地址 在互联网的环境中仅使用物理地址是不合适的,因为不同网络可以使用不同的地址格式。因此,需要一种通用的编址系统,用来惟一地标识每一台主机,而不管底层使用什么样的物理网络。 逻辑地址就是为此目的而设计的。目前internet上的 逻辑地址是32位地址,通常称为ip地址,可以用来标识连接在internet上的每一台主机。在internet上没有两个主机具有同样的ip地址。 逻辑地址可以是单播地址、多播地址和广播地址。其中广播地址有一些局限性。在实验三中将详细介绍这三种类型的地址。 二、aRp协议简介 internet是由各种各样的物理网络通过使用诸如路由
ARP简介 我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。 一、什么是ARP协议 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 编辑本段二、ARP协议的工作原理 在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如附表所示。附表: 我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC 地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应
的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样,主机A就知道了主机B的MAC 地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B 发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP 通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP 缓存中的IP-MAC条目,造成网络中断或中间人攻击。 ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP 木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。 二、RARP的工作原理: 1. 发送主机发送一个本地的RARP广播,在此广播包中,声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址; 2. 本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC地址对应的IP地址; 3. 如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用; 4. 如果不存在,RARP服务器对此不做任何的响应; 5. 源主机收到从RARP服务器的响应信息,就利用得到的IP地址进行通讯;如果一直没有收到RARP服务器的响应信息,表示初始化失败。 三、ARP和RARP报头结构 ARP和RARP使用相同的报头结构,如图所示。
《计算机网络》实验指导书 实验1 ARP协议分析实验 一、实验目的 ●理解IP地址与MAC地址的对应关系; ●理解ARP协议报文格式; ●理解ARP协议的工作原理与通信过程。 二、实验内容 ●ARP请求报文与应答报文格式; ●同一子网内两台机器间的ARP协议的工作过程; ●不同子网上的两台机器间的ARP协议工作过程。 三、实验原理、方法和手段 (1) ARP请求报文与应答报文格式 操作类型:1—ARP 请求;2—ARP 响应;3-- RARP请求;4—RARP 响应; 四、实验条件 (1)报文捕获工具
Wireshark协议分析软件; (2)应用协议环境 每个学生的PC机(安装Windows xp或者Windows 2000 操作系统)处于同一个LAN,主机A为本人机器,主机B为你邻座同学机器,另外有一个服务器(学校的WEB服务器,地址:210.44.144.44)处于另外一个网络。 五、实验步骤 (1)同一子网内两台机器间的ARP协议的工作过程 ●主机A(IP地址为A.A.A.A)与主机B(IP地址为B.B.B.B)属于同一个子 网; ●在主机A上的DOS命令提示符下运行arp –d命令,清空主机A的ARP 高速缓存; ●在主机A上的DOS命令提示符下运行arp –a命令,检查主机A的ARP 高速缓存区,此时ARP缓存区应为空; ●在主机A上启动Wireshark抓包工具准备捕获A与B之间的数据通信报 文,然后在主机A上的DOS命令提示符下运行:Ping B.B.B.B,并做 如下工作: 1、在捕获的报文中找出主机A和主机B之间通讯的ARP询问请求报文 和应答报文;
ARP协议工作原理 每台主机都设有一个ARP高速缓存(ARP cache),里面有本局域网上各主机和路由器的IP地址和硬件地址的映射表,这些都是该主机目前知道的一些地址。 当主机A要向本局域网上的某个主机B发送IP数据报时,先在其ARP高速缓存中查看是否有主机B的IP地址。如果有,就在ARP高速缓存中查出其对应的硬件地址,再把这个硬件地址写入MAC帧,然后通过局域网把该MAC帧发往此硬件地址。也有可能查不到主机B的IP地址的项目。这可能是主机B才入网,也可能是主机A刚刚加电,其高速缓存还是空的。在这种情况下,主机A就自动运行ARP,然后按以下步骤找到主机B的硬件地址: 实现地址解析的第一步是产生ARP请求帧。在ARP帧数据部分的相应字段写入本地主机的物理地址、IP地址、待侦测的目的IP地址,在目的物理地址字段写入0,并在操作类型字段写入1,用以表示本数据帧是一个ARP请求数据帧。该ARP请求帧以本地网络适配器的物理地址作为源地址,以物理广播地址(FF-FF-FF-FF-FF-FF)作为目的地址,通过物理层发送出去。由于采用了广播地址,因此网段内所有的主机或设备都能够接收到该数据帧。除了目的主机外,所有接收到该ARP请求帧的主机和设备都会丢弃该ARP请求帧,因为目的主机能够识别ARP消息中的IP地址是否与本机相同。 与目的IP地址匹配的主机构造ARP应答帧。在ARP应答帧中,以请求分组中源物理地址、源IP地址作为其目的物理地址、目的IP地址,并将自身的物理地址、IP地址填入应答帧的源物理地址、源IP地址字段,并在操作字段中写入2,表示本ARP数据帧是一个应答数据帧。该分组通过数据链路层直接发给源主机。 源主机接收到ARP应答帧后,获得目的主机的物理地址,并将它作为一条新记录加入到ARP 高速缓存表。此外,如果源主机没有发送ARP请求而收到其他主机的ARP响应数据帧,源主机也会在本地ARP缓冲区中缓存该主机物理地址和IP地址的对应关系。 ARP高速缓存是非常有用的。如果不使用ARP高速缓存,那么任何一个主机只要进行一次通信,就必须在网络上用广播的方式发送ARP请求分组,这会使网络上的通信量大大增加。ARP把保存在高速缓存中的每一个映射地址项目都设置生存时间,超过生存时间的项目就从高速缓存中删除掉。 注意:ARP是解决同一个局域网上的主机或路由器的IP地址和硬件地址的映射问题。
实验二:理解子网掩码、网关和ARP协议的作用 一、实验目的 理解上述知识点所涉及的基本概念与原理并能运用于分析实际网络,达到对数据包的传送过程深入理解。 二、实验内容 在实验中,利用ping命令来检验主机间能否进行正常的双向通信。在"ping"的过程中,源主机向目标主机发送ICMP的Echo Request报文,目标主机收到后,向源主机发回ICMP 的Echo Reply报文,从而可以验证源与目标主机能否进行正确的双向通信。 实验的拓扑结构:如图(1)所示。 202.192.31.235/20 A与B为实验用的PC机,使用Windows操作系统。 步骤1:设置主机的IP地址与子网掩码: A(1号机): 202.192.31.机号 255.255.248.0 B(2号机): 202.192.30.机号 255.255.248.0 两台主机均不设置缺省网关。 用arp -d命令清除两台主机上的ARP表,然后在A与B上分别用ping命令与对方通信,记录实验显示结果。 用arp -a命令可以在两台PC上分别看到对方的MAC地址,记录A、B的MAC地址。 分析实验结果。 步骤2:将A的子网掩码改为:255.255.255.0,其他设置保持不变。 操作1:用arp -d命令清除两台主机上的ARP表,然后在A上"ping"B,记录显示结果。 用arp -a命令能否看到对方的MAC地址。 分析操作1的实验结果。 操作2:接着在B上"ping"A,记录B上显示的结果 此时用arp -a命令能否看到对方的MAC地址。 分析操作2的实验结果。 步骤3:在前面实验的基础上,把A的缺省网关设为:202.192.31.235 在A与B上分别用ping命令与对方通信,记录各自的显示结果 在A与B上分别用tracert命令追踪数据的传输路径,记录结果
网络基础地址解析(ARP)协议 地址解析协议(Address Resolution Protocol,ARP)是一种能够实现IP地址到物理地址转化的协议。在计算机网络中,通过物理地址来识别网络上的各个主机,IP地址只是以符号地址的形式对目的主机进行编址。通过ARP协议将网络传输的数据报目的IP地址进行解析,将其转化为目的主机的物理地址,数据报才能够被目的主机正确接收。 实现IP地址到物理地址的映射在网络数据传输中是非常重要的,任何一次从互联网层及互联网层以上层发起的数据传输都使用IP地址,一旦使用IP地址,必须涉及IP地址到物理地址的映射,否则网络将不能识别地址信息,无法进行数据传输。 IP地址到物理地址的映射包括表格方式和非表格方式两种。其中,表格方式是事先在各主机中建立一张IP地址、物理地址映射表。这种方式很简单,但是映射表需要人工建立及人工维护,由于人工建立维护比较麻烦,并且速度较慢,因此该方式不适应大规模和长距离网络或映射关系变化频繁的网络。而非表格方式采用全自动技术,地址映射完全由设备自动完成。根据物理地址类型的不同,非表格方式有分为直接映射和动态联编两种方式。1.直接映射 物理地址分为固定物理地址和可自由配置的物理地址两类,对于可自由配置的物理地址,经过配置后,可以将其编入IP地址码中,这样物理地址的解析就变的非常简单,即将它从IP地址的主机号部分取出来便是,这种方式就是直接映射。直接映射方式比较简单,但适用范围有限,当IP地址中主机号部分不能容纳物理地址时,这种方式将失去作用。另外,以太网的物理地址都是固定的,一旦网络接口更改,物理地址也随之改变,采用直接映射将会出现问题。 2.动态联编 由于以太网具有广播能力和物理地址是固定的特点,通常使用动态联编方式来进行IP 地址到物理地址的解析。动态联编ARP方式的原理是,在广播型网络中,一台计算机A欲解析另一台计算机B的IP地址,计算机A首先广播一个ARP请求报文,请求计算机B回答其物理地址。网络上所有主机都将接收到该ARP请求,但只有计算机B识别出自己的IP 地址,并做出应答,向计算机A发回一个ARP响应,回答自己的物理地址。 为提高地址解析效率,ARP使用了高速缓存技术,即在每台使用ARP的主机中,都保留一个专用的高速缓存,存放最近获得的IP地址-物理地址联编信息。当收到ARP应答报文时,主机就将信宿机的IP地址和物理地址存入缓存。在发送报文时,首先在缓存中查找相应的地址联编信息,若不存在相应的地址联编信息,再利用ARP进行地址解析。这样不必每发一个报文都进行动态联编,提高地址解析效率,从而使网络性能得到提高。 另外,还有一种在无盘工作站中常用的反向地址解析协议(RARP),它可以实现物理地址到IP地址的转换。在无盘工作站启动时,首先以广播方式发出RARP请求,网络上的RARP服务器会根据RARP请求中的物理地址为该工作站分配一个IP地址,生成一个RARP 响应报文发送回去。然后,无盘工作站接收到RARP响应报文,便获得自己的IP地址,就能够和服务器进行通信。
竭诚为您提供优质文档/双击可除arp协议的主要功能 篇一:实验二:理解子网掩码、网关和aRp协议的作用实验二:理解子网掩码、网关和aRp协议的作用 一、实验目的 理解上述知识点所涉及的基本概念与原理并能运用于分析实际网络,达到对数据包的传送过程深入理解。 二、实验内容 在实验中,利用ping命令来检验主机间能否进行正常的双向通信。在"ping"的过程中,源主机向目标主机发送icmp的echoRequest报文,目标主机收到后,向源主机发回icmp的echoReply报文,从而可以验证源与目标主机能否进行正确的双向通信。 实验的拓扑结构:如图(1)所示。 202.192.31.235/20 a与b为实验用的pc机,使用windows操作系统。 步骤1:设置主机的ip地址与子网掩码: a(1号机):202.192.31.机号255.255.248.0b(2号机):202.192.30.机号255.255.248.0两台主机均不设置缺
省网关。 用arp-d命令清除两台主机上的aRp表,然后在a与b 上分别用ping命令与对方通信,记录实验显示结果。 用arp-a命令可以在两台pc上分别看到对方的mac地址,记录a、b的mac地址。 分析实验结果。 步骤2:将a的子网掩码改为:255.255.255.0,其他设置保持不变。 操作1:用arp-d命令清除两台主机上的aRp表,然后在a上"ping"b,记录显示结果。用arp-a命令能否看到对方的mac地址。分析操作1的实验结果。 操作2:接着在b上"ping"a,记录b上显示的结果 此时用arp-a命令能否看到对方的mac地址。分析操作2的实验结果。 步骤3:在前面实验的基础上,把a的缺省网关设为:202.192.31.235 在a与b上分别用ping命令与对方通信,记录各自的显示结果在a与b上分别用tracert命令追踪数据的传输路径,记录结果 分析(3)的实验结果。 步骤4:(不用做)用arp-d命令清除a中的aRp表,在a上ping一台外网段的主机,如广大的wwwserver,再用
unsigned long arp_tpa; /*目标的协议地址*/ }ARPHDR,*PARPHDR; 为了解释ARP协议的作用,就必须理解数据在网络上的传输过程。这里举一个简单的PING例子。 假设我们的计算机IP地址是192.168.1.1,要执行这个命令: ping192.168.1.2。该命令会通过ICMP协议发送ICMP数据包。该过程需要经过下面的步骤: 1、应用程序构造数据包,该示例是产生ICMP包,被提交给内核(网络驱动程序); 2、内核检查是否能够转化该IP地址为MAC地址,也就是在本地的ARP 缓存中查看IP-MAC对应表[1]; 3、如果存在该IP-MAC对应关系,那么跳到步骤7;如果不存在该IP-MAC 对应关系,那么接续下面的步骤; 4、内核进行ARP广播,目的地的MAC地址是FF-FF-FF-FF-FF-FF,ARP 命令类型为REQUEST(1),其中包含有自己的MAC地址; 5、当192.168.1.2主机接收到该ARP请求后,就发送一个ARP的REPLY (2)命令,其中包含自己的MAC地址; 6、本地获得192.168.1.2主机的IP-MAC地址对应关系,并保存到ARP 缓存中; 7、内核将把IP转化为MAC地址,然后封装在以太网头结构中,再把数据发送出去; 使用arp-a命令就可以查看本地的ARP缓存内容,所以,执行一个本地的PING命令后,ARP缓存就会存在一个目的IP的记录了。当然,如果你的数据包是发送到不同网段的目的地,那么就一定存在一条网关的IP-MAC 地址对应的记录。 知道了ARP协议的作用,就能够很清楚地知道,数据包的向外传输很依靠ARP协议,当然,也就是依赖ARP缓存。要知道,ARP协议的所有操作都是内核自动完成的,同其他的应用程序没有任何关系。同时需要注意的是,ARP协议只使用于本网络。 2.ARP协议的利用和相关原理介绍。 一、交换网络的嗅探 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP 和MAC地址存储在ARP缓存中。因此,在上面的假设网络中,B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是 192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC 地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造
APR协议分析实验报告 实验目的:1熟悉ARP的工作过程 2熟悉APR的数据包结构 实验步骤: 由于实验中出现了一些状况先在此说明: 在这个实验中我担任的主机D的角色。 但是在实验过程中发现主机D接收不到主机A发送的ARP请求,主机A在ping主机D的时候总是显示time out。但是主机D 能收到主机C发送来的ARP请求并且在主机Cping主机D之后,主机D的APR缓存表能找到主机C的IP地址与物理地址的映射。
于是我跟使用主机A的同学换了一组电脑,由于实验只涉及主机A与主机D还有中间连接的主机B因此我们只开了三台电脑。 以下为正常情况下的实验过程及结果: 练习一
1.ARP高速缓存表有哪几项组成? 高速缓存表用项目数组来实现,每个项目包括以下字段: 状态:表示项目的状态.其值为FREE(已超时),PENDING(已发送请求但未应答)或RESOLVED(已经应答). 硬件类型,协议类型,硬件地址长度,协议地址长度:与ARP分组中的相应字段相同. 接口号:对应路由器的不同接口. 队列号:ARP使用不同的队列将等待地址解析的分组进行排队.发往同一个目的 地的分组通常放在同一个队列中. 尝试:表示这个项目发送出了多少次的ARP请求. 超时:表示一个项目以秒为单位的寿命. 硬件地址:目的硬件地址,应答返回前保持为空. 协议地址:目的高层协议地址如IP地址 2主机A、B、C、D启动协议分析器,打开捕获窗口进行数据捕获并设置过滤条件(提取ARP、ICMP)
下图为设置过滤选项完成后的截图 3主机A、B、C、D在命令行下运行“arp -d”命令,清空ARP 高速缓存。 4.主机A ping 主机D(172.16.1.4)。这里我的主机D的IP地 址为169.254.209.191 5.主机A、B、C、D停止捕获数据,并立即在命令行下运行“arp -a”命令察看ARP 捕获数据后的图如下:
ARP 一、ARP协议概述 IP数据包常通过以太网发送。以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。 ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来,以节约不必要的ARP通信。 如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上, ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。 二、ARP分组格式 ARP分组直接封装在数据链路帧中。 下图是ARP分组的格式:
ARP分组具有如下的一些字段: 硬件类型:这是一个16比特字段。用来定义运行ARP的网络的类型。例如,以太网类型是1。 协议类型:这是一个16比特字段。标识发送设备所使用的协议类型。例如,对IPv4协议,这个字段的值是080016。 硬件长度:这是一个8比特字段。数据报中硬件地址以字节为单位的长度。例如,对以太网这个值是6。 协议长度:这是一个8比特字段。数据报中所用协议地址以字节为单位的长度。例如,对IPv4这个值是4。 操作码:这是一个16比特字段。操作码指明数据报是A R P请求还是A R P应答,假如是A R P请求,此值为1;假如数据报是A R P 应答,此值为2。 发送站硬件地址:这是一个可变长度字段。用来定义发送方设备的硬件地址。例如,对以太网这个字段是6字节长。 发送站协议地址:这是一个可变长度字段。用来定义发送方设备
实验二理解子网掩码、网关和ARP协议的作用 一、实验目的和要求 理解子网掩码、网管和ARP协议的基本概念和作用,并通过实验加深理解其原理,将其运用于分析实际网络,了解数据包的传送过程。 二、主要仪器设备 环境: WindowsXP或者Windows7 三、主要概念 (1)子网掩码(Subnet Mask) 子网掩码的主要功能是告知网络设备,一个特定的IP地址的哪一部分是包含网络地址与子网地址,哪一部分是主机地址。网络的路由设备只要识别出目的地址的网络号与子网号即可作出路由寻址决策,IP地址的主机部分不参与路由器的路由寻址操作,只用于在网段中唯一标识一个网络设备的接口。本来,如果网络系统中只使用A、B、C这三种主类地址,而不对这三种主类地址作子网划分或者进行主类地址的汇聚,则网络设备根据IP地址的第一个字节的数值范围即可判断它属于A、B、C中的哪一个主类网,进而可确定该IP地址的网络部分和主机部分,不需要子网掩码的辅助。 但是在实际网络规划中,他们并不利于有效地分配有限的地址空间。对于A,B类地址,很少有这么大规模的公司能够使用,对于C类地址所容纳的主机数又相对太少。所以有类别的IP地址并不适用于网络规划。同时随着加入互联网的网络越来越多,路由寻经表急剧膨胀,这样不仅会降低网关寻径效率(甚至可能使寻径表溢出,从而造成寻径故障),更重要的是将增加内外部路径刷新时的开销,从而加重网络负担。 为了提高IP地址使用效率及路由效率,在基础的IP地址分类上对IP编址进行了相应改进。但为了使系统在对A、B、C这三种主类网进行了子网的划分,或者采用无类别的域间选路技术CIDR对网段进行汇聚的情况下,也能对IP地址的网络及子网部分与主机部分作正确的区分,就必须依赖于子网掩码的帮助。 子网掩码使用与IP相同的编址格式,子网掩码为1的部分对应于IP地址的网络与子网部分,子网掩码为0的部分对应于IP地址的主机部分。将子网掩码和IP地址作"与"操作后,IP地址的主机部分将被丢弃,剩余的是网络地址和子网地址。例如,一个IP分组的目的IP 地址为:10.2.2.1,若子网掩码为:,与之作"与"运算得:,则网络设备认为该IP地址的网络号与子网号为:。 (2)网关(Gateway) 在Internet中的网关一般是指用于连接两个或者两个以上网段的网络设备,通常使用路由器(Router)作为网关。在TCP/IP网络体系中,网关的基本作用是根据目的IP地址的网络号与子网号,选择最佳的出口对IP分组进行转发,实现跨网段的数据通信。 (3)ARP协议(Address Resolution Protocol) 在以太网(Ethernet)中,一个网络设备要和另一个网络设备进行直接通信,除了知道目标设备的网络层逻辑地址(如IP地址)外,还要知道目标设备的第二层物理地址(MAC 地址)。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
计算机网络实验报告 学院计算机与通信工程学院专业软件工程班级1604班 学号201616080412 姓名杜江荣实验时间:2018.04.09 一、实验名称: ARP协议分析实验 二、实验目的: 分析ARP协议的格式,理解ARP协议的解析过程。 三、实验环境: 实验室局域网中任意两台主机PC1,PC2。 四、实验步骤及结果: 步骤1:查看实验室PC1和PC2的IP地址并记录 PC1: 10.64.53.8 PC2: 10.64.53.7 步骤2:在PC1和PC2两台计算机上执行如下命令,清除ARP缓存。 ARP -d 步骤3:在PC1,PC2两台计算机上执行如下指令,查看高速缓存中的ARP 地址映射表的内容。 ARP -a 步骤4:在PC1和PC2上运行Wireshark捕获数据包,为了捕获和实验内容有关的数据包,Wireshark的Capture Filter设置为默认方式;
步骤5:在主机PC1上执行Ping命令向PC2发送数据包; 步骤6:执行完毕,保存截获的报文并命名为arp1-学号-姓名; 步骤7:在PC1,PC2两台计算机上再次执行ARP –a命令,查看高速缓存中的ARP地址映射表的内容: (1)这次看到的内容和步骤3的内容相同吗?结合两次看到的结果,理解ARP 高速缓存的作用。 不相同 因为第二次直接利用了高速缓存 (2)把这次看到的高速缓存中的ARP地址映射表写出来。 10.64.53.7 44-87-fc-9b-be-12 10.64.53.254 00-d0-f8-ac-f2-ed 步骤8:重复步骤4-5,将此结果保存为arp2-学号-姓名; 步骤9:打开arp1-学号-姓名,完成以下各题: 1)在捕获的数据包中有几个ARP数据包?在以太帧中,ARP协议类型的代码值是什么? 2个 Ip(0X0800) 2)打开arp2-学号-姓名,比较两次截获的报文有何区别?分析其原因。 在arp2中没有arp报文,这位是因为在第一次操作时,已经将路由信息存入ARP高速缓存中,不用通过ARP广播请求消息来获的路由信息。3)分析arp1-学号-姓名中ARP报文的结构,完成表1.3。
计算机网络应用ARP协议 地址解析协议(Address Resolution Protocol,ARP)是一种能够实现IP地址到物理地址转化的协议。在计算机网络中,通过物理地址来识别网络上的各个主机,IP地址只是以符号地址的形式对目的主机进行编址。通过ARP协议将网络传输的数据报目的IP地址进行解析,将其转化为目的主机的物理地址,数据报才能够被目的主机正确接收。 实现IP地址到物理地址的映射在网络数据传输中是非常重要的,任何一次从互联网层及互联网层以上层发起的数据传输都使用IP地址,一旦使用IP地址,必须涉及IP地址到物理地址的映射,否则网络将不能识别地址信息,无法进行数据传输。 IP地址到物理地址的映射包括表格方式和非表格方式两种。其中,表格方式是事先在各主机中建立一张IP地址、物理地址映射表。这种方式很简单,但是映射表需要人工建立及人工维护,由于人工建立维护比较麻烦,并且速度较慢,因此该方式不适应大规模和长距离网络或映射关系变化频繁的网络。而非表格方式采用全自动技术,地址映射完全由设备自动完成。根据物理地址类型的不同,非表格方式有分为直接映射和动态联编两种方式。 1.直接映射 物理地址分为固定物理地址和可自由配置的物理地址两类,对于可自由配置的物理地址,经过配置后,可以将其编入IP地址码中,这样物理地址的解析就变的非常简单,即将它从IP地址的主机号部分取出来便是,这种方式就是直接映射。直接映射方式比较简单,但适用范围有限,当IP地址中主机号部分不能容纳物理地址时,这种方式将失去作用。另外,以太网的物理地址都是固定的,一旦网络接口更改,物理地址也随之改变,采用直接映射将会出现问题。 2.动态联编 由于以太网具有广播能力和物理地址是固定的特点,通常使用动态联编方式来进行IP 地址到物理地址的解析。动态联编ARP方式的原理是,在广播型网络中,一台计算机A欲解析另一台计算机B的IP地址,计算机A首先广播一个ARP请求报文,请求计算机B回答其物理地址。网络上所有主机都将接收到该ARP请求,但只有计算机B识别出自己的IP地址,并做出应答,向计算机A发回一个ARP响应,回答自己的物理地址。 为提高地址解析效率,ARP使用了高速缓存技术,即在每台使用ARP的主机中,都保留一个专用的高速缓存,存放最近获得的IP地址-物理地址联编信息。当收到ARP应答报文时,主机就将信宿机的IP地址和物理地址存入缓存。在发送报文时,首先在缓存中查找相应的地址联编信息,若不存在相应的地址联编信息,再利用ARP进行地址解析。这样不必每发一个报文都进行动态联编,提高地址解析效率,从而使网络性能得到提高。 另外,还有一种在无盘工作站中常用的反向地址解析协议(RARP),它可以实现物理地址到IP地址的转换。在无盘工作站启动时,首先以广播方式发出RARP请求,网络上的RARP 服务器会根据RARP请求中的物理地址为该工作站分配一个IP地址,生成一个RARP响应报文发送回去。然后,无盘工作站接收到RARP响应报文,便获得自己的IP地址,就能够和服务器进行通信。
ARP协议分析 14020310090 张振宇1.实验内容 使用Wireshark抓包软件,捕获ARP信息并分析。 2.实验原理 ARP协议的原理:当我们在访问某个网络或者ping某个网址如:ping https://www.doczj.com/doc/7c15621612.html,时候,DNS需要解析https://www.doczj.com/doc/7c15621612.html, 成为IP地址,但是在网络中数据传输是以帧的形式进行传输,而帧中有目标主机的MAC地址,本地主机在向目标主机发送帧前,要将目标主机IP地址解析成为MAC地址,这就是通过APR协议来完成的。 假设有两台主机A,B在互相通信,假设A(192.168.1.2),B(192.168.1.4)双方都知道对方的IP地址,如果A主机要向B主机发送“hello”,那么A主机,首先要在网络上发送广播,广播信息类似于“192.168.1.4的MAC地址是什么”,如果B主机听见了,那么B主机就会发送“192.168.1.4的MAC地址是“。。。。。。”,MAC地址一般都是6Byte 48bit 的格式,如“04-a3-e3-3a”,这样A主机就知道B 主机的MAC地址,所以发送数据帧时,加上MAC地址就不怕找不到目标主机的了。完成广播后,A主机会将MAC地址加入到ARP缓存表(所谓ARP缓存表就是一张实现IP和MAC地址进行一一对应的表,并且存储起来),以备下次再使用。ARP帧结构如图6-13所示。 图6-13 ARP帧结构 (1)两个字节长的以太网帧类型表示后面数据的类型。对于ARP请求或应答来说,该字段的值为0X0806。 (2)硬件类型字段:指明了发送方想知道的硬件地址的类型,以太网的值为1。 (3)协议类型字段:表示要映射的协议地址类型,IP为0X0800。 (4)硬件地址长度和协议地址长度:指明了硬件地址和高层协议地址的长度,这样ARP帧就可以在任意硬件和任意协议的网络中使用。对于以太网上IP 地址的ARP请求或应答来说,它们的值分别为6和4。 (5)操作字段:用来表示这个报文的类型,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。 (6)发送端的以太网地址:源主机硬件地址,6个字节。 (7)发送端IP地址:发送端的协议地址(IP地址),4个字节。
ARP协议的缺陷分析 ARP主要是利用伪造的IP/MAC映射关系来骗取其他主机的信任.从而达到非法截获网络内其他主机之间的通信数据。 ARP协议的安全漏洞来源于协议自身设计上的不足.ARP协议被设计成一种可信任协议。缺乏合法性验证手段。 ARP协议是一个高效的数据链路层协议.但是设计初衷是方便数据的传输.设计前提是网络绝对安全的情况.ARP协议是建立在局域网主机相互信任的基础之上.ARP具有广播性、无状态性、无认证性、无关性和动态性等一系列的安全缺陷。 (1)ARP协议寻找MAC地址是广播方式的。攻击者可以应答错误的MAC地址.同时攻击者也可以不问断地广播ARP请求包.造成网络的缓慢甚至网络阻塞; (2)ARP协议是无状态和动态的。任意主机都可以在没有请求的情况下进行应答.且任何主机只要收到网络内正确的ARP应答包.不管它本身是否有ARP 请求。都会无条件的动态更新缓存表; (3)ARP协议是无认证的。ARP协议默认情况下是信任网络内的所有节点.只要是存在ARP缓存表里的IP/MAC映射以及接收到的ARP应答中的IP/MAC 映射关系.ARP都认为是可信任的.并没有对IP/MAC映射的真实性,有效性进行检验.也没有维护映射的一致性。 详细分析: ARP实现分析 ARP的整个工作还有一些其它的一些函数,这些函数与本文的研究关系不大,因此不作说明。在ARP的工作过程中有以下几个方面安全问题值得关注: (1)如果有一个伪造的ARP分组(这个分组中的发送者IP地址不是本机的IP地址,但发送者硬件地址是本机的,它伪造了一个IP—MAC映射),以太网接口输出处理函数只是构造一个以太首部封装此分组并把它放到输出队列,不判断该分组中的发送者IP—MAC映射是否与本机信息相符,因此,这个伪造分组不会被作为非法分组丢弃,从而可能造成伪造ARP 分组顺利发送,而伪造ARP分组会影响网络的运行和安全。当然,如果进行ARP分组的检查,则势必影响通信速度,在早期的可信网络中这种做法是多余的,所以ARP设计上没有
前言:ARP协议的作用: 1. 什么是ARP? ARP (Address Resolution Protocol) 是个地址解析协议。最直白的说法是:在IP以太网中,当一个上层协议要发包时,有了该节点的IP地址,ARP就能提供该节点的MAC地址。 2为什么要有ARP? OSI 模式把网络工作分为七层,彼此不直接打交道,只通过接口(layre interface). IP地址在第三层, MAC地址在第二层。 协议在发生数据包时,首先要封装第三层(IP地址)和第二层(MAC地址)的报头, 但协议只知道目的节点的IP地址,不知道其物理地址,又不能跨第二、三层,所以得用ARP的服务。 详细说明: ? 在网络通讯时,源主机的应用程序知道目的主机的IP地址和端口号,却不知道目的主机的硬件地址,而数据包首先是被网卡接收到再去处理上层协议的,如果接收到的数据包的硬件地址与本机不符,则直接丢弃。因此在通讯前必须获得目的主机的硬件地址。ARP协议就起到这个作用 ? 当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时,是根据48位的以太网地址来确定目的接口的,设备驱动程序从不检查IP数据报中的目的IP地址。ARP(地址解析)模块的功能为这两种不同的地址形式提供映射:32位的IP地址和48位的以太网地址 一.ARP报文各字段含义: ARP报文字段总共有28个字节 1.硬件类型:占2个字节,表明ARP实现在何种类型的网络上。 ? 值为1:表示以太网。 2.协议类型:占2个字节表示要映射的协议地址类型。 ? IP:0800 3.硬件地址长度:占1个字节,表示MAC地址长度,其值为6个字节。 4.协议地址长度:占1个字节,表示IP地址长度,此处值4个字节 5.操作类型:占2个字节,表示ARP数据包类型。 ? 值为1表示ARP请求。