arp緩存表的工作方式
『壹』 ARP的工作過程是什麼、
工作過程:首先根據主機A上的路由表內容,IP確定用於訪問主機B的轉發IP地址是192.168.1.2。然後A主機在自己的本地ARP緩存中檢查主機B的匹配MAC地址。
如果主機A在ARP緩存中沒有找到映射,它將詢問192.168.1.2的硬體地址,從而將ARP請求幀廣播到本地網路上的所有主機。源主機A的IP地址和MAC地址都包括在ARP請求中。本地網路上的每台主機都接收到ARP請求並且檢查是否與自己的IP地址匹配。
主機B確定ARP請求中的IP地址與自己的IP地址匹配,則將主機A的IP地址和MAC地址映射添加到本地ARP緩存中。主機B將包含其MAC地址的ARP回復消息直接發送回主機A。
當主機A收到從主機B發來的ARP回復消息時,會用主機B的IP和MAC地址映射更新ARP緩存。本機緩存是有生存期的,生存期結束後,將再次重復上面的過程。主機B的MAC地址一旦確定,主機A就能向主機B發送IP通信了。
(1)arp緩存表的工作方式擴展閱讀:
應用:
1、ARP命令
ARP緩存中包含一個或多個表,它們用於存儲IP地址及其經過解析的MAC地址。ARP命令用於查詢本機ARP緩存中IP地址-->MAC地址的對應關系、添加或刪除靜態對應關系等。如果在沒有參數的情況下使用,ARP命令將顯示幫助信息。
2、ARP欺騙
地址解析協議是建立在網路中各個主機互相信任的基礎上的,它的誕生使得網路能夠更加高效的運行,但其本身也存在缺陷:ARP地址轉換表是依賴於計算機中高速緩沖存儲器動態更新的,而高速緩沖存儲器的更新是受到更新周期的限制的。
只保存最近使用的地址的映射關系表項,這使得攻擊者有了可乘之機,可以在高速緩沖存儲器更新表項之前修改地址轉換表,實現攻擊。
ARP請求為廣播形式發送的,網路上的主機可以自主發送ARP應答消息,並且當其他主機收到應答報文時不會檢測該報文的真實性就將其記錄在本地的MAC地址轉換表,這樣攻擊者就可以向目標主機發送偽ARP應答報文,從而篡改本地的MAC地址表。
ARP欺騙可以導致目標計算機與網關通信失敗,更會導致通信重定向,所有的數據都會通過攻擊者的機器,因此存在極大的安全隱患。
『貳』 ARP 協議工作過程是什麼
ARP協議的工作過程是:
主機A的IP地址為192.168.1.1,MAC地址為0A-11-22-33-44-01;
主機B的IP地址為192.168.1.2,MAC地址為0A-11-22-33-44-02;
當主機A要與主機B通信時,地址解析協議可以將主機B的IP地址(192.168.1.2)解析成主機B的MAC地址。工作流程如下:
1、根據主機A上的路由表內容,IP確定用於訪問主機B的轉發IP地址是192.168.1.2。
2、如果主機A在ARP緩存中沒有找到映射,它將詢問192.168.1.2的硬體地址,從而將ARP請求幀廣播到本地網路上的所有主機。
3、主機B確定ARP請求中的IP地址與自己的IP地址匹配,則將主機A的IP地址和MAC地址映射添加到本地ARP緩存中。
4、主機B將包含其MAC地址的ARP回復消息直接發送回主機A。
5、當主機A收到從主機B發來的ARP回復消息時,會用主機B的IP和MAC地址映射更新ARP緩存。
(2)arp緩存表的工作方式擴展閱讀
ARP命令:
ARP緩存中包含一個或多個表,它們用於存儲IP地址及其經過解析的MAC地址。ARP命令用於查詢本機ARP緩存中IP地址-->MAC地址的對應關系、添加或刪除靜態對應關系等。如果在沒有參數的情況下使用,ARP命令將顯示幫助信息。
常見用法:
arp
-a或arp
–g
用於查看緩存中的所有項目。-a和-g參數的結果是一樣的,多年來-g一直是UNIX平台上用來顯示ARP緩存中所有項目的選項,而Windows用的是arp
-a(-a可被視為all,即全部的意思),但它也可以接受比較傳統的-g選項。
arp
-a
Ip
如果有多個網卡,那麼使用arp
-a加上介面的IP地址,就可以只顯示與該介面相關的ARP緩存項目。
arp
-s
Ip
物理地址
可以向ARP緩存中人工輸入一個靜態項目。該項目在計算機引導過程中將保持有效狀態,或者在出現錯誤時,人工配置的物理地址將自動更新該項目。
arp
-d
Ip
使用該命令能夠人工刪除一個靜態項目。
參考資料來源:搜狗網路-ARP
『叄』 簡述arp協議的工作原理
每台主機都會在自己的ARP緩沖區中建立一個 ARP列表,以表示IP地址和MAC地址的對應關系。
當源主機需要將一個數據包要發送到目的主機時,會首先檢查自己 ARP列表中是否存在該 IP地址對應的MAC地址。
如果有,就直接將數據包發送到這個MAC地址;如果沒有,就向本地網段發起一個ARP請求的廣播包,查詢此目的主機對應的MAC地址。
此ARP請求數據包里包括源主機的IP地址、硬體地址、以及目的主機的IP地址。網路中所有的主機收到這個ARP請求後,會檢查數據包中的目的IP是否和自己的IP地址一致。
如果不相同就忽略此數據包;如果相同,該主機首先將發送端的MAC地址和IP地址添加到自己的ARP列表中。
如果ARP表中已經存在該IP的信息,則將其覆蓋,然後給源主機發送一個 ARP響應數據包,告訴對方自己是它需要查找的MAC地址。
源主機收到這個ARP響應數據包後,將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中,並利用此信息開始數據的傳輸。
如果源主機一直沒有收到ARP響應數據包,表示ARP查詢失敗。
(3)arp緩存表的工作方式擴展閱讀
arp協議的功能:
地址解析協議由互聯網工程任務組(IETF)在1982年11月發布的RFC 826中描述制定。
地址解析協議是IPv4中必不可少的協議,而IPv4是使用較為廣泛的互聯網協議版本(IPv6仍處在部署的初期)。
OSI模型把網路工作分為七層,IP地址在OSI模型的第三層,MAC地址在第二層,彼此不直接打交道。
在通過乙太網發送IP數據包時,需要先封裝第三層、第二層的報頭,但由於發送時只知道目標IP地址,不知道其MAC地址,又不能跨第二、三層,所以需要使用地址解析協議。
使用地址解析協議,可根據網路層IP數據包包頭中的IP地址信息解析出目標硬體地址(MAC地址)信息,以保證通信的順利進行。
參考資料
ARP-網路
『肆』 請問ARP緩存表是在路由還是交換,以及路由和交換他們那個工作是基於的ARP,謝謝
你好,我來回答你,希望對你有幫助:
首先要明白OSI七層模型,ip層是第三層,mac層是第二層,低層為高層服務。數據包的傳送過程就一個「打包-拆包」的過程。
1、arp表項是把主機的ip地址和mac地址進行對應,在路由器進行路由定址的時候,首先要看ip包頭的內容,找到目標ip地址,然後根據路由表進行轉發;
2、若A路由器對ip包頭的目標ip地址進行分析後,A路由器根據路由表的信息,找到ip包的下一跳和出介面信息進行轉發,發送到下一跳B路由器上,這時候A路由器和下一跳B路由器之間是點對點的通信,或者說:A、B兩台路由器必然各有一個介面屬於同一網段;
3、A路由器發送ip報文給B,因為屬於同一網段,因此,A必須知道B的介面的MAC地址(這就是二層為三層提供傳輸服務),於是A向B發送ARP請求報文,請求B的對應介面的MAC地址,B收到請求報文後,用arp回應報文答復,告訴A:B的mac地址是多少。
4、A路由器將B的ip地址和mac地址進行綁定,形成arp表,然後在ip報文外封裝二層報頭:包含了B的mac地址,從相應介面發送出去;
5、B收到後,檢查MAC地址,發現目標MAC地址是自己的,於是拆除二層報頭,分析ip報頭,再次進行和A一樣的操作過程。
arp表是一個不斷學習、更新的過程,每通信一次,arp表中的相應內容要更新一次。
『伍』 請問ARP的工作原理
1:首先,每個主機都會在自己的ARP緩沖區中建立一個ARP列表,以表示IP地址和MAC地址之間的對應關系。
2:當源主機要發送數據時,首先檢查ARP列表中是否有對應IP地址的目的主機的MAC地址,如果有,則直接發送數據,如果沒有,就向本網段的所有主機發送ARP數據包,該數據包包括的內容有:源主機 IP地址,源主機MAC地址,目的主機的IP 地址。
3:當本網路的所有主機收到該ARP數據包時,首先檢查數據包中的IP地址是否是自己的IP地址,如果不是,則忽略該數據包,如果是,則首先從數據包中取出源主機的IP和MAC地址寫入到ARP列表中,如果已經存在,則覆蓋,然後將自己的MAC地址寫入ARP響應包中,告訴源主機自己是它想要找的MAC地址。
4:源主機收到ARP響應包後。將目的主機的IP和MAC地址寫入ARP列表,並利用此信息發送數據。如果源主機一直沒有收到ARP響應數據包,表示ARP查詢失敗。
廣播發送ARP請求,單播發送ARP響應。
『陸』 ARP的工作原理
arp攻擊的原理
arp在目前看來可以分為7中之多。
1、arp欺騙(網關、pc)
2、arp攻擊
3、arp殘缺
4、海量arp
5、二代arp(假ip、假mac)
因為二代的arp最難解決,現在我就分析一下二代arp的問題。
現象 ARP出現了新變種,二代ARP攻擊已經具有自動傳播能力,已有的宏文件綁定方式已經被破,網路有面臨新一輪的掉線和卡滯盜號的影響!
原理
二代ARP主要表現在病毒通過網路訪問或是主機間的訪問互相傳播。由於病毒已
經感染到電腦主機,可以輕而易舉的清除掉客戶機電腦上的ARP靜態綁定(首先執行的是arp -d然後在執行的是arp -s ,此時綁定的是一個錯誤的MAC)伴隨著綁定的取消,錯誤的網關IP和MAC的對應並可以順利的寫到客戶機電腦,ARP的攻擊又暢通無阻了。
通過對arp原理的分析:
arp攻擊的一般解決辦法如下 :
1)部分用戶採用的「雙/單項綁定」後,ARP攻擊得到了一定的控制。
面臨問題雙綁和單綁都需要在客戶機上綁定。二代ARP攻擊會清除電腦上的綁定,使得電腦靜態綁定的方式無效。
(2)部分用戶採用一種叫作「循環綁定」的辦法,就是每過一段「時間」客戶端自動綁定一個「IP/MAC」。
面臨問題如果我們「循環綁定」的時間較長(比arp清除的時間長)就是說在「循環綁定」進行第二次綁定之前就被清除了,這樣對arp的防範仍然無效。如果「循環綁定」的時間過短(比arp清除時間短)這塊就會暫用更多的系統資源,這樣就是「得不償失」
(3)部分用戶採用一種叫作「arp防護」,就是網關每過一段時間按照一定的「頻率」在內網發送正確網關「IP/MAC」
面臨問題如果發送的「頻率」過快(每秒發送的ARP多)就會嚴重的消耗內網的資源(容易造成內網的堵塞),如果發送「頻率」太慢(沒有arp協議攻擊發出來頻率高)在arp防範上面沒有絲毫的作用。
最徹底的解決辦法
(4)arp是個「雙頭怪」要想徹底解決必須要「首尾兼顧」有兩種方式可以實現
第一 採用「看守式綁定」的方法,實時監控電腦ARP緩存,確保緩存內網關MAC和IP的正確對應。在arp緩存表裡會有一個靜態的綁定,如果受到arp的攻擊,或只要有公網的請求時,這個靜態的綁定又會自動的跳出,所以並不影響網路的正確的訪問。這種方式是安全與網卡功能融合的一種表現,也叫作「終端抑制」
第二就是在網路接入架構上要有「安全和網路功能的融合」就是在接入網關做NAT的時候不是按照傳統路由那樣根據「MAC/IP」映射表來轉發數據,而是根據他們在NAT表中的MAC來確定(這樣就會是只要數據可以轉發出去就一定可以回來)就算ARP大規模的爆發,arp表也混亂了但是並不會給我們的網路造成任何影響。(不看IP/MAC映射表)這種方法在現有控制ARP中也是最徹底的。也被稱為是「免疫網路」的重要特徵。
『柒』 什麼是ARP
地址解析協議,即ARP(Address Resolution Protocol),是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到區域網絡上的所有主機,並接收返回消息,以此確定目標的物理地址;收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間,下次請求時直接查詢ARP緩存以節約資源。
地址解析協議是建立在網路中各個主機互相信任的基礎上的,區域網絡上的主機可以自主發送ARP應答消息,其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存;由此攻擊者就可以向某一主機發送偽ARP應答報文,使其發送的信息無法到達預期的主機或到達錯誤的主機,這就構成了一個ARP欺騙。
(7)arp緩存表的工作方式擴展閱讀:
RARP和ARP不同,地址解析協議是根據IP地址獲取物理地址的協議,而反向地址轉換協議(RARP)是區域網的物理機器從網關伺服器的ARP表或者緩存上根據MAC地址請求IP地址的協議,其功能與地址解析協議相反。與ARP相比,RARP的工作流程也相反。首先是查詢主機向網路送出一個RARP Request廣播封包,向別的主機查詢自己的IP地址。這時候網路上的RARP伺服器就會將發送端的IP地址用RARP Reply封包回應給查詢者,這樣查詢主機就獲得自己的IP地址了。
『捌』 ARP的英文全稱是什麼主要工作原理是怎麼樣的
一、什麼是ARP協議
ARP協議是「Address Resolution Protocol」(地址解析協議)的縮寫。在區域網中,網路中實際傳輸的是「幀」,幀裡面是有目標主機的MAC地址的。在乙太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂「地址解析」就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。
二、ARP協議的工作原理
在每台安裝有TCP/IP協議的電腦里都有一個ARP緩存表,表裡的IP地址與MAC地址是一一對應的,如附表所示。
附表
我們以主機A(192.168.1.5)向主機B(192.168.1.1)發送數據為例。當發送數據時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀裡面發送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網路上發送一個廣播,目標MAC地址是「FF.FF.FF.FF.FF.FF」,這表示向同一網段內的所有主機發出這樣的詢問:「192.168.1.1的MAC地址是什麼?」網路上其他主機並不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應:「192.168.1.1的MAC地址是00-aa-00-62-c6-09」。這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表,下次再向主機B發送信息時,直接從ARP緩存表裡查找就可以了。ARP緩存表採用了老化機制,在一段時間內如果表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。
『玖』 ARP的作用及原理是什麼歡迎CTRL+V
概述ARP,即地址解析協議,實現通過IP地址得知其物理地址。在TCP/IP網路環境下,每個主機都分配了一個32位的IP地址,這種互聯網地址是在網際范圍標識主機的一種邏輯地址。為了讓報文在物理網路上傳送,必須知道對方目的主機的物理地址。這樣就存在把IP地址變換成物理地址的地址轉換問題。以乙太網環境為例,為了正確地向目的主機傳送報文,必須把目的主機的32位IP地址轉換成為48位乙太網的地址。這就需要在互連層有一組服務將IP地址轉換為相應物理地址,這組協議就是ARP協議。另有電子防翻滾系統也稱為ARP。 [編輯本段]地址解析協議 工作原理
在每台安裝有TCP/IP協議的電腦里都有一個ARP緩存表,表裡的IP地址與MAC地址是一一對應的。
以主機A(192.168.1.5)向主機B(192.168.1.1)發送數據為例。當發送數據時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀裡面發送就可以了;如果在ARP緩存表中沒有找到目標IP地址,主機A就會在網路上發送一個廣播,目標MAC地址是「FF.FF.FF.FF.FF.FF」,這表示向同一網段內的所有主機發出這樣的詢問:「我是192.168.1.5,我的硬體地址是"FF.FF.FF.FF.FF.FE".請問IP地址為192.168.1.1的MAC地址是什麼?」網路上其他主機並不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應:「192.168.1.1的MAC地址是00-aa-00-62-c6-09」。這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發送信息了。同時A和B還同時都更新了自己的ARP緩存表(因為A在詢問的時候把自己的IP和MAC地址一起告訴了B),下次A再向主機B或者B向A發送信息時,直接從各自的ARP緩存表裡查找就可以了。ARP緩存表採用了老化機制(即設置了生存時間TTL),在一段時間內(一般15到20分鍾)如果表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。
ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網路中產生大量的ARP通信量使網路阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網路中斷或中間人攻擊。
ARP攻擊主要是存在於區域網網路中,區域網中若有一個人感染ARP木馬,則感染該ARP木馬的系統將會試圖通過「ARP欺騙」手段截獲所在網路內其它計算機的通信信息,並因此造成網內其它計算機的通信故障。
RARP的工作原理:
1. 發送主機發送一個本地的RARP廣播,在此廣播包中,聲明自己的MAC地址並且請求任何收到此請求的RARP伺服器分配一個IP地址;
2. 本地網段上的RARP伺服器收到此請求後,檢查其RARP列表,查找該MAC地址對應的IP地址;
3. 如果存在,RARP伺服器就給源主機發送一個響應數據包並將此IP地址提供給對方主機使用;
4. 如果不存在,RARP伺服器對此不做任何的響應;
5. 源主機收到從RARP伺服器的響應信息,就利用得到的IP地址進行通訊;如果一直沒有收到RARP伺服器的響應信息,表示初始化失敗。
6.如果在第1-3中被ARP病毒攻擊,則伺服器做出的反映就會被佔用,源主機同樣得不到RARP伺服器的響應信息,此時並不是伺服器沒有響應而是伺服器返回的源主機的IP被佔用。
數據結構
[4]ARP協議的數據結構:
typedef structarphdr
{
unsignedshortarp_hrd;/*硬體類型*/
unsignedshortarp_pro;/*協議類型*/
unsignedchararp_hln;/*硬體地址長度*/
unsignedchararp_pln;/*協議地址長度*/
unsignedshortarp_op;/*ARP操作類型*/
unsignedchararp_sha[6];/*發送者的硬體地址*/
unsignedlongarp_spa;/*發送者的協議地址*/
unsignedchararp_tha[6];/*目標的硬體地址*/
unsignedlongarp_tpa;/*目標的協議地址*/
}ARPHDR,*PARPHDR;
ARP和RARP報頭結構
ARP和RARP使用相同的報頭結構,如圖所示。
報送格式
硬體類型欄位:指明了發送方想知道的硬體介面類型,乙太網的值為1;
協議類型欄位:指明了發送方提供的高層協議類型,IP為0800(16進制);
硬體地址長度和協議長度:指明了硬體地址和高層協議地址的長度,這樣ARP報文就可以在任意硬體和任意協議的網路中使用;
操作欄位:用來表示這個報文的類型,ARP請求為1,ARP響應為2,RARP請求為3,RARP響應為4;
發送方的硬體地址(0-2位元組):源主機硬體地址的前3個位元組;
發送方的硬體地址(3-5位元組):源主機硬體地址的後3個位元組;
發送方IP(0-1位元組):源主機硬體地址的前2個位元組;
ARP緩存表查看方法
ARP緩存表是可以查看的,也可以添加和修改。在命令提示符下,輸入「arp -a」就可以查看ARP緩存表中的內容了,如附圖所示。
arp -a
用「arp -d」命令可以刪除ARP表中所有的內容;
用「arp -d +空格+ <指定ip地址>」 可以刪除指定ip所在行的內容
用「arp -s」可以手動在ARP表中指定IP地址與MAC地址的對應,類型為static(靜態),此項存在硬碟中,而不是緩存表,計算機重新啟動後仍然存在,且遵循靜態優於動態的原則,所以這個設置不對,可能導致無法上網. [編輯本段]電子防翻滾系統ARP英文全稱是Anti Rolling Program,即電子防翻滾功能。它通過感知車輛的位置,調節發動機扭矩及各車輪的制動力,從而防止車輛在高速急轉彎等緊急狀況時發生翻車狀況。如雪佛蘭科帕奇就標配了此系統。
『拾』 ARP的工作過程是怎樣的
ARP(Address Resolution Protocol,地址解析協議)是將IP地址解析為乙太網MAC地址(或稱物理地址)的協議。
在區域網中,當主機或其它網路設備有數據要發送給另一個主機或設備時,它必須知道對方的網路層地址(即IP地址)。但是僅僅有IP地址是不夠的,因為IP數據報文必須封裝成幀才能通過物理網路發送,因此發送站還必須有接收站的物理地址,所以需要一個從IP地址到物理地址的映射。APR就是實現這個功能的協議。
假設主機A和B在同一個網段,主機A要向主機B發送信息。具體的地址解析過程如下
(1) 主機A首先查看自己的ARP表,確定其中是否包含有主機B對應的ARP表項。如果找到了對應的MAC地址,則主機A直接利用ARP表中的MAC地址,對IP數據包進行幀封裝,並將數據包發送給主機B。
(2) 如果主機A在ARP表中找不到對應的MAC地址,則將緩存該數據報文,然後以廣播方式發送一個ARP請求報文。ARP請求報文中的發送端IP地址和發送端MAC地址為主機A的IP地址和MAC地址,目標IP地址和目標MAC地址為主機B的IP地址和全0的MAC地址。由於ARP請求報文以廣播方式發送,該網段上的所有主機都可以接收到該請求,但只有被請求的主機(即主機B)會對該請求進行處理。
(3) 主機B比較自己的IP地址和ARP請求報文中的目標IP地址,當兩者相同時進行如下處理:將ARP請求報文中的發送端(即主機A)的IP地址和MAC地址存入自己的ARP表中。之後以單播方式發送ARP響應報文給主機A,其中包含了自己的MAC地址。
(4) 主機A收到ARP響應報文後,將主機B的MAC地址加入到自己的ARP表中以用於後續報文的轉發,同時將IP數據包進行封裝後發送出去。
當主機A和主機B不在同一網段時,主機A就會先向網關發出ARP請求,ARP請求報文中的目標IP地址為網關的IP地址。當主機A從收到的響應報文中獲得網關的MAC地址後,將報文封裝並發給網關。如果網關沒有主機B的ARP表項,網關會廣播ARP請求,目標IP地址為主機B的IP地址,當網關從收到的響應報文中獲得主機B的MAC地址後,就可以將報文發給主機B;如果網關已經有主機B的ARP表項,網關直接把報文發給主機B。