ARP位址解析協議分析

2021-08-30 15:41:47 字數 2535 閱讀 7483

arp(address resolution protocol),即位址解析協議,是根據ip位址獲取實體地址的乙個tcp/ip協議。主機傳送資訊時將包含目標ip位址的arp請求廣播到網路上的所有主機,並接收返回訊息,以此確定目標的實體地址。

arp封包格式:

各欄位分析:

長度或型別:佔16位 對於arp (請求或應答), 2位元組的長度或型別字段必須為0x0806 。

協議型別:佔16位 表示要對映的協議位址型別,值為0x0800即表示ip位址,因為是在ip協議的基礎上進行分析的(即網路層邏輯位址為ip位址),所以所抓到的包的該字段型別都為0x0800。

硬體位址長度:佔8位 指出硬體位址的長度,單位為位元組,因為是針對的是乙太網,而乙太網位址為mac位址,佔48位,即6位元組,所以後面抓到的包中該字段的值都為6,不再作特別說明。

協議位址長度:佔8位 指出三層邏輯位址的長度,單位為位元組,因為是針對的是乙太網位址和ip位址的對映,而ip位址佔32位,即6位元組,所以後面抓到的包中該字段的值都為4,不再作特別說明。

操作欄位op:指出操作型別,對應的值如下:arp請求:1、arp響應:2、rarp請求:3、rarp響應:4。rarp現在已經很少使用了。

fcs:幀校驗序列。源節點傳送資料幀時,由幀的幀頭和資料部分計算得出fcs,目的節點接收到後,用同樣的方式再計算一遍fcs,將計算得到的fcs與資料報中的fcs比對,如果fcs比對結果相同,則認為資料順利傳輸,接受該幀。否則,則認為幀在傳輸過程中發生了錯誤,從而選擇丟棄該幀。

還原主機向閘道器請求硬體位址的乙個過程,以此對arp報文進行分析

dos控制台下:

>arp -d //清空arp快取

>arp -a //檢視arp快取

分析:使用科來網路分析系統,分析資料報請求包和響應包

為了形象的描述這次會話,可以這樣理解

本機(廣播請求包):who has 10.6.65.10?tell 10.6.65.120

閘道器(定點傳送響應包):10.6.65.10 is at 58:6a:b1:71:08:c6

arp快取超時:

超時通常與arp快取中的每個條目相關(我們在後面將會看到, arp命令允許管理員設定快取條目永遠不超時)。在大多數實現中,完整條目的超時為20分鐘,而不完整條目的 超時為3分鐘。

**arp :

**arp使乙個系統(通常是一台專門配置的路由器)可回答不同主機的arp請求。它使arp請求的傳送者認為做出響應的系統就是目的主機,但實際上目的主機 可能在其他地方(或不存在)。

免費arp:它發生在一台主機傳送arp請求以尋找自己的地 址時。它通常出現在啟動時,當介面被配置為「上行」時常這樣做。免費arp需要達 到兩個目標:

1.允許一台主機確定另一台主機是否配置相同的ipv4位址。傳送免費arp的主機並不 期望它的請求獲得應答。但是,如果它接收到乙個應答,通常顯示的是錯誤訊息「從乙太網 位址⋯⋯傳送的重複ip位址」。這是對系統管理員和使用者的警告,在同一廣播域(例如局域 圃 網或vlan)中有乙個系統配置出錯。

2.如果傳送免費arp的主機已改變硬體位址(關閉主機或替換介面卡,然後重新啟動 主機),該幀導致任何接收廣播並且其快取中有該條目的其他主機,將該條目中的舊硬體位址更新為與該幀一致。如前面所述,如果一台主機接收到乙個arp請求,該請求來自乙個 已存在接收方快取中的ipv4位址,則快取條目更新為arp請求中傳送方的硬體位址。這由接收到arp請求的主機完成,免費arp正好利用這個特性。

ipv4位址衝突檢測(acd):

arp劫持,利用arp製造廣播風暴等,不再贅述。

arp是tcp/ip實現中的乙個基本協議,但它通常在應用程式或使用者沒有察覺的情況下執行。arp用於確定本地可達的ipv4子網使用的ipv4位址對應的硬體位址。它在資料報的目的地與傳送方處於同一子網時使用,還用於資料報的目的地不在當前子網時將其**到一台路由器。arp快取是其執行的基礎,我們可使用ap命令檢視和處理快取。快取中每個條目都有乙個計時器,用於清除不完整的條目和完整的條目。arp命令可顯示和修改arp快取中的條目。

我們深入了解特殊arp的正常執行:**arp(一台路由器回答主機通過另一台路由器介面訪問的arp請求)和免費arp (傳送自已擁有的ip位址的arp請求,通常用於引導)。我們還討論了ipv4位址衝突檢測,採用一種持續執行的類似免費arp的交換,來避免在同一廣播域中位址重複。最後,我們討論了一系列涉及arp的攻擊。如果高層協議沒有強大的安全措施,這可能會導致高層協議出現問題。

ARP協議 位址解析協議

網路層使用的是ip位址,但實際網路的鏈路上傳送資料幀時,最終還是必須使用該網路的硬體位址。arp快取記憶體 ip位址到硬體位址的對映表 那麼一台主機 a 是如何獲知本區域網內其他主機或路由的硬體位址的?主機a廣播arp請求分組 我的ip是 硬體位址是 請告知我ip位址為 主機的硬體位址。本區域網內的...

位址解析協議 ARP

1.什麼是arp?英文原義 address resolution protocol 中文釋義 是乙個位於tcp ip協議棧中的低層協議,負責將某個ip位址解析成對應的mac位址。區域網中,網路中實際傳輸的是 幀 幀裡面是有目標主機的mac位址的。所謂 位址解析 就是主機在傳送幀前將目標ip位址轉換成...

位址解析協議(ARP)

位址解析協議 arp 作用是將邏輯位址對映為實體地址,即將ip位址和實體地址關聯起來。當主機或路由器想要知道網路上另一台主機或者路由器的實體地址的時候,它就會傳送arp查詢分組。這個分組包括傳送端的實體地址和ip位址,以及接收端的ip位址。因為傳送端不知道接收端的實體地址,所以查詢就在網路上廣播。a...