ARP
参考https://blog.csdn.net/xiaobai729/article/details/122501029
ARP(AddressResolution Protocol )地址解析协议,工作在数据链路层,他将网络层地址映射到物理层地址(已知IP地址,查MAC地址)
- ARP缓存表
- IP地址到MAC地址的映射表
- 通常有过期时间
- arp缓存表里的数据会自动更新,过几分钟后会删除,重新学习
- 只要是配置了IP地址的设备都有arp缓存表:电脑、手机、路由器、三层交换机
原理(同网段)
host1查找自身缓存表(没有查到) --> 发送arp请求 --> 交换机对该广播帧进行泛洪操作并学习 --> host2查询到是询问自己,先学习再回复 --> 交换机转发单播帧并学习 --> host1收到回复后学习
ARP请求 :帧封装的目的IP是12个F -- 广播
交换机收到后会直接对该帧进行泛洪(广播)操作,并且学习该IP的MAC地址以及端口号到交换机自己的MAC缓存表
所有主机都接受到该ARP Request报文后,都会检查该帧的目的IP地址与自身的IP地址是否匹配,不匹配就直接丢弃,Host2发现与自己IP地址匹配,就会先把发送端的IP与MAC地址信息记录到自己的ARP缓存表之中,然后Host2就会发送ARP Reply报文
ARP响应 :对应的某台电脑回应请求ARP请求包 -- 单播
交换机收到单播数据帧以后,会对该帧进行转发操作,并且学习Host2的MAC地址和端口号到自己的MAC缓存表
Host1收到Host2的ARP Reply报文后会检查目的IP与自己IP地址字段是否相同,如果匹配就将回应报文的源IP地址与MAC地址学习到自己的ARP缓存表之中,然后就可以传输信息进行通信
host1有了host2的MAC地址后,将MAC地址封装到目的MAC地址,然后传输信息
在不同网段的原理
- host1在封装数据时发现自身没有host2的MAC地址,于是查询ARP,ARP缓存也没有该IP的MAC地址信息,而且通过子网掩码计算不是本网段,跨网段就需要找网关,查询ARP表内没有网关的MAC地址
- host1把要发送的数据放入缓存,发送ARP请求网关的MAC
- 交换机收到请求之后学习源MAC和端口并进行泛洪操作
- 路由器(网关)收到广播数据后,学习host1的MAC信息,发现请求的目的IP正是自己,回复一个ARP响应
- 交换机收到响应后学习网关的MAC和端口,转发
- host1收到响应后,将缓存的数据拿出,目的IP为host2的IP,目的MAC为网关MAC,发送
- 路由器(网关)收到这个数据包后发现IP不是自己,于是查询路由表,找通向另一个网段的地址,准备从对应的网关发送,查询MAC表,如果有就转发,没有就发送ARP请求询问host2的地址
- 交换机收到ARP请求之后学习MAC和端口并泛洪
- host2收到之后学习并响应
- 交换机收到响应后学习并转发
- 路由器(网关)收到后封装目的IP以及目的MAC,源IP为host1源MAC为路由器的出口MAC地址发送
- 交换机查询并转发
- host2收到解封装,回复给网关
同网段通过MAC地址进行通信,跨网段通过IP地址进行通信
路由器隔绝广播域,交换机隔绝冲突域
源IP地址和目的IP地址是始终不变的
- ARP攻击
- 攻击者向目标主机发送虚假的ARP响应,伪造IP和MAC地址之间的映射关系,主机会将数据包发送到错误的目标地址
- 破解 -- 静态绑定正确网关的MAC地址
arp -s <ip> <mac>