2024年3月22日发(作者:)
ARP
一.简介
ARP,即地址解析协议,实现通过IP地址得知其物理地址。在TCP/IP网络环境下,每
个主机都分配了一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地
址。为了让报文在物理网路上传送,必须知道对方目的主机的物理地址。这样就存在把IP
地址变换成物理地址的地址转换问题。以以太网环境为例,为了正确地向目的主机传送报文,
必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服
务将IP地址转换为相应物理地址,这组协议就是ARP协议。另有电子防翻滚系统也称为ARP。
二.基本功能
在以太网协议中规定,同一局域网中的一台主机要和另一台主机进行
直接通信,必须要知道目标主机的MAC地址。而在TCP/IP协议栈中,网络
层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议
时,数据链路层的以太网协议接到上层IP协议提供的数据中,只包含目的
主机的IP地址。于是需要一种方法,根据目的主机的IP地址,获得其MAC
地址。这就是ARP协议要做的事情。所谓地址解析(address resolution)
就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
另外,当发送主机和目的主机不在同一个局域网中时,即便知道目的
主机的MAC地址,两者也不能直接通信,必须经过路由转发才可以。所以
此时,发送主机通过ARP协议获得的将不是目的主机的真实MAC地址,而
是一台可以通往局域网外的路由器的某个端口的MAC地址。于是此后发送
主机发往目的主机的所有帧,都将发往该路由器,通过它向外发送。这种
情况称为ARP代理(ARP Proxy)。
三.工作原理
当一个基于TCP/IP的应用程序需要从一台主机发送数据给另一台主机时,它把信息分
割并封装成包,附上目的主机的IP地址。然后,寻找IP地址到实际MAC地址的映射,这需
要发送ARP广播消息。当ARP找到了目的主机MAC地址后,就可以形成待发送帧的完整以太
网帧头。最后,协议栈将IP包封装到以太网帧中进行传送。
如图1所示,描述了ARP广播过程。
图1 ARP广播
在图1中,当主机A要和主机B通信(如主机A Ping主机B)时。主机A会先检查其ARP
缓存内是否有主机B的MAC地址。如果没有,主机A会发送一个ARP请求广播包,此包内
包含着其欲与之通信的主机的IP地址,也就是主机B的IP地址。当主机B收到此广播后,
会将自己的MAC地址利用ARP响应包传给主机A,并更新自己的ARP缓存,也就是同时将
主机A的IP地址/MAC地址对保存起来,以供后面使用。主机A在得到主机B的MAC地址
后,就可以与主机B通信了。同时,主机A也将主机B的IP地址/MAC地址对保存在自己的
ARP缓存内。
ARP
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址
与MAC地址是一一对应的。
ARP工作原理
以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送
数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找
到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就
可以了;如果在ARP缓存表中没有找到目标IP地址,主机A就会在网络上
发送一个广播,A主机MAC地址是“主机A的MAC地址”,这表示向同一网
段内的所有主机发出这样的询问:“我是192.168.1.5,我的硬件地址是"
主机A的MAC地址".请问IP地址为192.168.1.1的MAC地址是什么?”网
络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A
做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这
样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。
同时A和B还同时都更新了自己的ARP缓存表(因为A在询问的时候把自
己的IP和MAC地址一起告诉了B),下次A再向主机B或者B向A发送信
息时,直接从各自的ARP缓存表里查找就可以了。ARP缓存表采用了老化机
制(即设置了生存时间TTL),在一段时间内(一般15到20分钟)如果表
中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,
加快查询速度。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络
中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的
ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或
中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木
马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络
内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
RARP的工作原理:
1. 发送主机发送一个本地的RARP广播,在此广播包中,声明自己的
MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址;
2. 本地网段上的RARP服务器收到此请求后,检查其RARP列表,查
找该MAC地址对应的IP地址;
3. 如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP
地址提供给对方主机使用;
4. 如果不存在,RARP服务器对此不做任何的响应;
5. 源主机收到从RARP服务器的响应信息,就利用得到的IP地址进
行通讯;如果一直没有收到RARP服务器的响应信息,表示初始化失败。
6.如果在第1-3中被ARP病毒攻击,则服务器做出的反映就会被占用,
源主机同样得不到RARP服务器的响应信息,此时并不是服务器没有响应而
是服务器返回的源主机的IP被占用。
ARP报文格式
ARP报文被封装在以太网帧头部中传输,如图2所示,是ARP请求协议报文头部格式。
图2 ARP请求协议报文头部格式
图2中黄色的部分是以太网(这里是Ethernet II类型)的帧头部。其中,第一个字段是广
播类型的MAC地址:0XFF-FF-FF-FF-FF-FF,其目标是网络上的所有主机。第二个字段是源
MAC地址,即请求地址解析的主机MAC地址。第三个字段是协议类型,这里用0X0806代表
封装的上层协议是ARP协议。 接下来是ARP协议报文部分。其中各个字段的含义如
下:
硬件类型:表明ARP实现在何种类型的网络上。
协议类型:代表解析协议(上层协议)。这里,一般是0800,即IP。
硬件地址长度:MAC地址长度,此处为6个字节。
协议地址长度:IP地址长度,此处为4个字节。
操作类型:代表ARP数据包类型。0表示ARP请求数据包,1表示ARP应答数据包。
源MAC地址:发送端MAC地址。
源IP地址:代表发送端协议地址(IP地址)。
目标MAC地址:目的端MAC地址(待填充)。
目标IP地址:代表目的端协议地址(IP地址)。
ARP应答协议报文和ARP请求协议报文类似。不同的是,此时,以太网帧头部的目标MAC
地址为发送ARP地址解析请求的主机的MAC地址,而源MAC地址为被解析的主机的MAC
地址。同时,操作类型字段为1,表示ARP应答数据包,目标MAC地址字段被填充以目标
MAC地址。
四.地址解析报文封装
ARP/RARP报文是作为普通数据直接封装在物理帧(以太网帧)中进行传输的,
ARP/RARP报文封装在以太网物理帧中的格式如下。
以太网帧的封装格式
0x0806:表示ARP类型,0X8035表示RARP类型。ARP/RARP作为普通数
据放在数据区,由于它(ARP/RARP报文)只有28字节,后面必须增加18个
字节的填充PAD,以达到以太网帧的最小长度要求(46字节)。
四.RARP 反向地址解析协议
反向地址解析协议用于一种特殊情况,如果站点被初始化后,只有自
己的物理网络地址而没有IP地址,则它可以通过RARP协议,并发出广播
请求,征求自己的IP地址,而RARP服务器则负责回答。这样无IP的站点
可以通过RARP协议取得自己的IP地址,这个地址在下一次系统重新开始
以前都有效,不用连续广播请求。RARP广泛用于获取无盘工作站的IP地址。
五.ARP缓存表查看方法
ARP缓存表是可以查看的,也可以添加和修改。在命令提示符下,输入
“arp -a”就可以查看ARP缓存表中的内容了,如附图所示。
arp -a
用“arp -d”命令可以删除ARP表中所有的内容;
用“arp -d +空格+ <指定ip地址>” 可以删除指定ip所在行的内容
用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应,类
型为static(静态),静态ARP缓存除非手动清除,否则不会丢失。无论是
静态还是动态ARP缓存,重启启动计算机后都会丢失。
六.ARP欺骗
其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。
ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心
腹大患。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路
由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原
理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按
照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,
结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到
信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,
让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在
PC看来,就是上不了网了,“网络掉线了”。一般来说,ARP欺骗攻击的
后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了
解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不
承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络
就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑
锅”。作为网吧路由器的厂家,对防范ARP欺骗不得已做了不少份内、份
外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,
这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静
态ARP信息,这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做,称
其为IP-MAC双向绑定。显示和修改“地址解析协议”(ARP) 所使用的到以
太网的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议
之后才可用。
arp -a [inet_addr] [-N [if_addr]
arp
arp -d inet_addr [if_addr]
arp -s inet_addr ether_addr [if_addr]
参数
-a
通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr,则只显
示指定计算机的 IP 和物理地址。
-g
与 -a 相同。
inet_addr
以加点的十进制标记指定 IP 地址。
-N
显示由 if_addr 指定的网络界面 ARP 项。
if_addr
指定需要修改其地址转换表接口的 IP 地址(如果有的话)。如果不
存在,将使用第一个可适用的接口。
-d
删除由 inet_addr 指定的项。
-s
在 ARP 缓存中添加项,将 IP 地址 inet_addr 和物理地址
ether_addr 关联。物理地址由以连字符分隔的6 个十六进制字节给定。使
用带点的十进制标记指定 IP 地址。项是永久性的,即在超时到期后项自
动从缓存删除。
ether_addr
指定物理地址。
七.遭受ARP攻击后现象
ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时
间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器
频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证
上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重
启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上
网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一
局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如
盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行
账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不
便和巨大的经济损失。
八.常用的维护方法
搜索网上,目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使
用ARP防护软件,也出现了具有ARP防护功能的路由器。下面来了解以下
三种方法:静态绑定、Antiarp和具有ARP防护功能的路由器。
静态绑定
最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP
和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全
部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC
的静态绑定,这样双向绑定才比较保险。
方法:
对每台主机进行IP和MAC地址静态绑定。
通过命令,arp -s可以实现 “arp –s IP MAC地址 ”。
例如:“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)
一般不绑定,在动态的情况下:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)
说明:对于网络中有很多主机,500台,1000台...,如果我们这样每
一台都去做静态绑定,工作量是非常大的。,这种静态绑定,在电脑每次
重起后,都必须重新在绑定,虽然也可以做一个批处理文件,但是还是比
较麻烦的!
3.2 使用ARP防护软件
目前关于ARP类的防护软件出的比较多了,大家使用比较常用的ARP
工具主要是欣向ARP工具,Antiarp等。它们除了本身来检测出ARP攻击外,
防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单
说下这两个小工具。
3.2.1 欣向ARP工具
俺使用了该工具,它有5个功能:
A. IP/MAC清单
选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内
网的那块网卡。
IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请
在内网运行正常时扫描,因为这个表格将作为对之后ARP的参照。
之后的功能都需要这个表格的支持,如果出现提示无法获取IP或MAC
时,就说明这里的表格里面没有相应的数据。
B. ARP欺骗检测
这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的
IP设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问
的机器IP。
(补充)“ARP欺骗记录”表如何理解:
“Time”:发现问题时的时间;
“sender”:发送欺骗信息的IP或MAC;
“Repeat”:欺诈信息发送的次数;
“ARP info”:是指发送欺骗信息的具体内容.如下面例子:
time sender Repeat ARP info 22:22:22 192.168.1.22 1433
192.168.1.1 is at 00:0e:03:22:02:e8
ARP
这条信息的意思是:在22:22:22的时间,检测到由192.168.1.22发出的
欺骗信息,已经发送了1433次,他发送的欺骗信息的内容是:192.168.1.1
的MAC地址是00:0e:03:22:02:e8。
打开检测功能,如果出现针对表内IP的欺骗,会出现提示。可以按照
提示查到内网的ARP欺骗的根源。提示一句,任何机器都可以冒充其他机
器发送IP与MAC,所以即使提示出某个IP或MAC在发送欺骗信息,也未必
是100%的准确。所有请不要以暴力解决某些问题。
C. 主动维护
这个功能可以直接解决ARP欺骗的掉线问题,但是并不是理想方法。
他的原理就在网络内不停的广播制定的IP的正确的MAC地址。
“制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是
每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP,
尽量少的广播频率。一般设置1次就可以,如果没有绑定IP的情况下,出
现ARP欺骗,可以设置到50-100次,如果还有掉线可以设置更高,即可
以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题,还是请参照
上面绑定方法。arp
D. 欣向路由器日志
收集欣向路由器的系统日志,等功能。
E. 抓包
类似于网络分析软件的抓包,保存格式是.cap。
Antiarp
这个软件界面比较简单,以下为我收集该软件的使用方法。
A. 填入网关IP地址,点击[获取网关地址]将会显示出网关的MAC地
址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。
注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取
网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC
地址扫描器可以找出IP 对应的MAC地址。
B. IP地址冲突
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,
才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
C. 您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体
方法如下:
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来
源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地
址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中
(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地
址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig
/all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,
如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地
址生效请禁用本地网卡然后再启用网卡。
具有ARP防护功能的路由器
这类路由器以前听说的很少,对于这类路由器中提到的ARP防护功能,
其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功
能对于真正意义上的攻击,是不能解决的。
ARP的最常见的特征就是掉线,一般情况下不需要处理一定时间内可以
回复正常上网,因为ARP欺骗是有老化时间的,过了老化时间就会自动的
回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP
信息,使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时
间很短的量很大的欺骗ARP,1秒有个几百上千的),它是不断的发起ARP
欺骗包来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量
的错误信息给淹没。
可能你会有疑问:我们也可以发送比欺骗者更多更快正确的ARP信息
啊?如果攻击者每秒发送1000个ARP欺骗包,那我们就每秒发送1500个
正确的ARP信息!
面对上面的疑问,我们仔细想想,如果网络拓扑很大,网络中接了很多网
络设备和主机,大量的设备都去处理这些广播信息,那网络使用起来好不
爽,再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占
用。如果该网络出了问题,我们抓包分析,数据包中也会出现很多这类ARP
广播包,对分析也会造成一定的影响。
2.3 ARP缓冲区
为了节省ARP缓冲区内存,被解析过的ARP条目的寿命都是有限的。如果一段时间内该条目
没有被参考过,则条目被自动删除。在工作站PC的Windows环境中,ARP条目的寿命是2
分钟,在大部分Cisco交换机中,该值是5分钟。
在工作站PC的Windows环境中,可以使用命令arp -a查看当前的ARP缓存,如图3所示。
而在路由器和交换机中可以命令show arp完成相同的功能,如图4所示。
图3 Windows环境下,命令arp -a的输出
图4 路由器中show arp命令的输出
注意:ARP不能通过IP路由器发送广播,所以不能用来确定远程网络设备的硬件地址。对
于目标主机位于远程网络的情况,IP利用ARP确定默认网关(路由器)的硬件地址,并将
数据包发到默认网关,由路由器按它自己的方式转发数据包。
3 反向ARP
反向ARP(Reverse ARP,RARP)用于把物理地址(MAC地址)转换到对应的 IP 地址。例如,
在无盘工作站启动的时候,因为无法从自身的操作系统获得自己的IP地址配置信息。这时,
无盘工作站可发送广播请求获得自己的IP地址信息,而RARP服务器则响应IP请求消息-
为无盘工作站分配1个未用的IP地址(通过发送RARP应答包)。
反向ARP(RARP)在很大程度上已被BOOTP、DHCP所替代,后面这两种协议对RARP的改进
是可以提供除了IP地址外的其它更多的信息,如默认网关、DNS服务器的IP地址等信息。
4 代理ARP
代理ARP(PROXY ARP)也被称作混杂ARP(Promiscuous ARP)(RFC 925、1027)一般被像
路由器这样的设备使用--用来代替处于另一个网段的主机回答本网段主机的ARP请求。
下面是代理ARP的应用之一,如图5所示,主机PC1(192.168.20.66/24)需要向主机PC2
(192.168.20.20/24)发送报文,因为主机PC1不知道子网的存在且和目标主机PC2在同一
主网络网段,所以主机PC1将发送ARP请求广播报文请求192.168.20.20的MAC地址。这时,
路由器将识别出报文的目标地址属于另一个子网(注意,路由器的接口IP地址配置的是28
位的掩码),因此向请求主机回复自己的硬件地址(0)。之后,PC1将发往
PC2的数据包都发往MAC地址0(路由器的接口E0/0),由路由器将数据包
转发到目标主机PC2。(接下来路由器将为PC2做同样的代理发送数据包的工作)。这种ARP
使得子网化网络拓扑对于主机来说时透明的(或者可以说是路由器以一个不真实的PC2的
MAC地址欺骗了源主机PC1)。
图5 代理ARP
5 无故ARP
无故(Gratuitous ARP,GARP)ARP也称为无为ARP。主机有时会使用自己的IP地址作为目
标地址发送ARP请求。这种ARP请求称为无故ARP,GARP,主要有两个用途:
(1)检查重复地址(如果收到ARP响应表明存在重复地址)。
(2)用于通告一个新的数据链路标识。当一个设备收到一个arp请求时,发现arp缓冲区
中已有发送者的IP地址,则更新此IP地址的MAC地址条目。
如图6所示,显示了一台Cisco路由器在其加电启动后、引导过程中向网络宣布自己的一个
以太网接口(Ethernet 0)的MAC地址以及IP地址的包。
图6 无故ARP
从图中可以看出,这个ARP包的类型编码是2,代表一个ARP应答消息(但是之前并没有对
此IP的ARP请求消息)。这个ARP包的源硬件地址(MAC地址)是路由器的这个接口的MAC
地址,目标硬件地址(MAC地址)使用的是广播地址(FF-FF-FF-FF-FF-FF);而源和目标
协议地址(IP地址)都是此接口自身的IP地址。此ARP包用于设备(路由器)向网络宣告
自身的IP地址和MAC地址映射,也用于检查是否有重复(冲突)的IP地址。
MAC地址欺骗防护
在数据链路层中,用来标识节点的就是其MAC地址。它是局域网中进行网络通信的基础。但是在平常的网
络通信操作中,都不是以MAC地址来指定目标节点的,而是以IP地址或NetBIOS名称。这样就存在一个
IP地址与MAC地址的对应关系,它们之间的相互解析是通过ARP(Address Resolution Protocol,地址解
析协议)或RARP(Reverse Address Resolution Protocol,反向地址解析协议)协议进行的:ARP负责由
IP地址解析出MAC地址,适用于有盘网络,而RARP负责从MAC地址解析出IP地址,适用于无盘网络。如
果修改了其中的任何一项,则可能导致找不到真正的目标节点而通信不成功。这就是两种欺骗:IP地址欺
骗和MAC地址欺骗。IP地址欺骗是基于网络层的,而MAC地址欺骗是基于数据链路层的。在此仅介绍MAC
地址欺骗。
10.5.1 ARP和RARP协议工作原理
MAC地址与IP地址是计算机网络通信中非常重要的两类地址,缺一不可。因为在OSI/RM网络层以上是通
过IP地址进行寻址的,而在OSI/RM网络层以下则是通过MAC地址进行寻址的。可以说是两类地址各司其
职,共同完成一个完整的计算机网络通信。当然在一些网络通信中,还可能有传输层的"端口"号参与到IP
寻址中。
1.ARP工作原理
前面介绍到,ARP协议是用于由节点IP地址解析其MAC地址,然后进行局域网内部通信的。例如要与某主
机连接,可以在浏览器或运行窗口中输入其IP地址,然而在局域网内是没有网络层的,网络中的主机设备
不能识别IP地址,只识别MAC地址,所以这时就需要ARP协议来转换。ARP协议的基本功能就是通过数据
包中的目标节点的IP地址查询目标节点的MAC地址,以便把数据包发送到目标设备中。
ARP的基本工作原理如下:
(1)每台主机都会根据以往在网络中与其他节点的通信,在自己的ARP缓存区(ARP Cache)中建立一个
ARP列表,以表示网络中节点IP地址和MAC地址的对应关系。
【说明】ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用(Windows系统的这个时间
为2分钟,而Cisco路由器的这个时间为5分钟),就会被删除,这样可以大大减少ARP缓存表的长度,
加快查询速度。
(2)当源节点需要将一个数据包发送到目标节点时,会首先检查自己ARP列表中是否存在该包中所包含的
目标节点IP地址对应的MAC地址。如果有,则直接将数据包发送到这个MAC地址节点上;如果没有,就向
本地网段发起一个ARP请求的广播包,查询此IP地址目标节点对应的MAC地址。此ARP请求数据包里包括
源节点的IP地址、硬件地址,以及目标节点的IP地址。
(3)网络中所有的节点在收到这个ARP请求后,会检查数据包中的目标IP地址是否和自己的IP地址一致。
如果不相同就忽略此数据包;如果相同,该节点首先将源端的MAC地址和IP地址的对应表项添加到自己的
ARP列表中。如果发现ARP表中已经存在该IP地址所对应的MAC地址表项信息,则将其覆盖,然后给源节
点发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址节点。
(4)源节点在收到这个ARP响应数据包后,将得到的目标节点的IP地址和MAC地址对应表项添加到自己
的ARP列表中,并利用此信息开始数据的传输。如果源节点一直没有收到ARP响应数据包,则表示ARP查
询失败。
2.RARP工作原理
ARP协议是根据IP地址找其对应的MAC地址,而RARP则是根据MAC地址找其对应IP地址,所以称之为"
反向ARP"。具有本地磁盘的系统引导时,一般是从磁盘上的配置文件中读取IP地址,然后即可直接用ARP
协议找出与其对应的主机MAC地址。但是无盘机,如X终端或无盘工作站,启动时是通过MAC地址来寻址
的,这时就需要通过RARP协议获取IP地址。
RARP的基本工作原理如下:
(1)发送端发送一个本地的RARP广播包,在此广播包中声明自己的MAC地址,并且请求任何收到此请求
的RARP服务器分配一个IP地址。
(2)本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC地址对应的IP地址。如果
存在,RARP服务器就给源主机发送一个响应数据包,并将此IP地址提供给对方主机使用;如果不存在,
RARP服务器对此不做任何响应。
(3)源端在收到从RARP服务器来的响应信息后,利用得到的IP地址进行通信;如果一直没有收到RARP
服务器的响应信息,则表示初始化失败。
发布评论