计算机网络——ARP协议

前言

本博客是博主用于复习计算机网络的博客,如果疏忽出现错误,还望各位指正。

这篇博客是在B站掌芝士zzs这个UP主的视频的总结,讲的非常好。

可以先去看一篇视频,再来参考这篇笔记(或者说直接偷走)。

一条视频讲清楚什么是ARP协议-ARP攻击又是什么_哔哩哔哩_bilibili

前篇

  1. 计算机网络------MAC地址和IP地址-CSDN博客
  2. 计算机网络------交换机和路由器-CSDN博客
  3. 计算机网络------网络地址转换(NAT)技术-CSDN博客
  4. 计算机网络------TCP和UDP协议-CSDN博客
  5. 计算机网络------DHCP协议-CSDN博客

引言

想必大家时常会听到ARP协议、ARP攻击等概念。到底ARP协议是什么?

什么是ARP协议。

还是以写信举例子,经常写信的同学都知道,信封上有两个关键的字段需要填写,一个是收件人,一个是收件地址。

假设我只写收件人是张三,不知道张三的地址,那么这封信是无法寄到的。

在这种情况下,聪明的同学都会先打电话给张三,问一下张三的地址,然后填写到信封上,那么这封信就可以正常寄出了。

在网络世界中也是这样的,收件人就是IP地址,而收件地址就是MAC地址。

计算机每发出一包数据都需要填写数据链路层的源MAC、目标MAC和网络层的源IP、目标IP这四个参数。

一般情况下IP地址都是由用户指定的,源MAC是本机的,那目标MAC是如何获取的呢?

那就是ARP协议了。对应刚才举过的例子,ARP会帮我们打电话给目标IP并查询他的MAC地址。

所以总结一句话,ARP协议就是通过IP地址查询MAC地址的协议。

ARP帧结构

ARP帧结构的字段说明

下面是ARP数据帧的结构及各个字段的说明:

****目的MAC地址(6字节):****指示ARP请求或响应的目标设备的物理MAC地址。在ARP请求中,这个字段通常被设置为全0,表示请求的目标MAC地址未知。在ARP响应中,这个字段包含目标设备的真实MAC地址。

源MAC地址(6字节):指示ARP请求或响应的发送设备的物理MAC地址。

帧类型(2字节):指示数据帧中所携带的上层协议类型,对于ARP数据帧,该字段的值为0x0806。

硬件类型(2字节):指示硬件地址的类型,如以太网的硬件类型为1。

协议类型(2字节):指示上层协议类型,如IPv4的协议类型为0x0800。

硬件地址长度(1字节):指示硬件地址的长度,以字节为单位,如以太网的地址长度为6。

协议地址长度(1字节):指示协议地址的长度,以字节为单位,如IPv4地址的长度为4。

操作码(2字节):指示ARP请求或响应的类型,如请求为1,响应为2。

发送方硬件地址(6字节):指示ARP请求或响应的发送设备的物理MAC地址。

发送方协议地址(4字节):指示ARP请求或响应的发送设备的协议地址,如IPv4地址。

目标硬件地址(6字节):指示ARP请求或响应的目标设备的物理MAC地址。在ARP请求中,该字段通常被设置为全0,表示请求的目标MAC地址未知。在ARP响应中,该字段包含目标设备的真实MAC地址。

目标协议地址(4字节):指示ARP请求或响应的目标设备的协议地址,如IPv4地址。

要注意的是操作码(Opcode)字段,在ARP请求帧中,操作码字段的值为1,表示请求。而在ARP响应帧中,操作码字段的值为2,表示响应。目标MAC地址(Target MAC Address)字段,在ARP请求帧中,目标MAC地址字段被设置为全0,表示请求的目标MAC地址未知。而在ARP响应帧中,这个字段包含了目标设备的真实MAC地址。

ARP协议的工作流程

假设我们有一台计算机A它的IP地址是192.168.1.0。

现在计算机A需要向192.168.1.11发送一包UDP报文。

此时操作系统会把这一包UDP报文暂存,接着用ARP协议去查询对方的MAC地址。

主机A会通过网络向外广播一包ARP请求报文,请求报文中源MAC和源IP都是主机A的,目标MAC是要通过目标IP查询的,这时候,ARP协议中目标IP也就是192.168.1.11,目标MAC是一个全零的MAC地址。

注意这些是ARP协议的内容,属于网络层数据链路层的目标MAC地址是全F的地址,表示在数据链路层进行广播。

这一帧请求报文发出后会在网络中广播,网络中的所有计算机都可以收到这一帧请求报文。

收到报文的计算机会解析报文,查看目标IP地址。

如果跟自己的IP地址相同,那么说明自己需要对这一报文应答。

比如计算机B就是192.168.1.11,它收到后会生成一帧ARP回复报文,在回复报文中会填入自己的MAC地址。这一帧报文是使用单播的方式进行回复的。

回复报文被主机A收到后,从中解析出主机B的MAC地址,并把之前暂存的UDP数据取出,填入目标MAC地址后正常的发送,这样就完成了这帧UDP报文的发送。

当然并不是每次都需要执行这个查询步骤的,通过ARP协议查询到的MAC地址会写入到主机的ARP表中缓存起来,下次再往192.168.1.11发送数据,可以直接从ARP表中查询到其MAC地址即可。

若查询不到,才需要再执行上述的ARP查询步骤。

总结就是:

  1. 主机A需要发送数据到目标主机B,但只知道目标主机的IP地址。在发送数据之前,主机A首先检查本地的ARP缓存表,看是否已经有目标IP地址对应的MAC地址。如果有,则可以直接使用该MAC地址发送数据。
  2. 如果ARP缓存表中没有目标IP地址对应的MAC地址,主机A会发送一个ARP请求广播。ARP请求包含主机A的MAC地址、IP地址和目标IP地址,以及一个操作码,指示这是一个ARP请求。
  3. 所有收到ARP请求的主机都会检查目标IP地址是否与自己匹配。如果目标IP地址与自己匹配,则该主机会将自己的MAC地址作为响应发送给主机A。
  4. 主机A收到ARP响应后,会更新本地的ARP缓存表,将目标IP地址和MAC地址的映射关系存储起来。
  5. 主机A现在知道了目标主机B的MAC地址,可以使用该MAC地址发送数据包到目标主机B。
  6. 主机B收到数据包后,进行相应的处理和响应。

IP地址变更操作

比如当前网络中有3台主机,主机A、主机B和主机C,他们的IP分别是192.168.1.10 、192.168.1.11和192.168.1.12。

当前已经互相发现了对方,ARP表已经完成填充,并且通信也很正常。

这时我们把主机B和主机C的IP地址通过手动设置互换一下。

此时对于主机A来说,它的ARP表并没有发生变化,它将往192.168.1.11发送数据。

从ARP表查询到的是主机B的MAC地址,数据发送出去之后,这一帧数据会被送到主机B上。

实际上现在主机C的IP地址才是192.168.1.11,主机B收到这一帧数据后会直接丢弃。

实际上真实情况不是这样的。

我们先回到初始状态,在这种情况下,当设置完主机的IP地址后,操作系统会主动向网络中广播一包免费IP数据包。

这一包数据不需要回复,目的就是告诉网络中的所有其他主机,当前的IP地址和MAC地址的绑定关系。

每一台收到免费ARP的主机,自己更新自己的ARP表就好了。

这样网络中的其他设备几乎都能立即更新IP地址和MAC地址的映射关系了。

什么是ARP攻击?

假设我们现在有这么一个网络,这个网络中有多台计算机通过交换机互相通信,同时通过一台路由器连接到了互联网上。

假设路由器的IP地址是192.168.1.1,主机A的IP地址是192.168.1.10。

主机A所有访问互联网的数据包,不管是TCP协议还是UDP协议,都要通过路由器发送到互联网上。

也就是说在主机A上所有的数据包中,数据链路层的目标MAC地址都是路由器的MAC地址。

当然这个MAC地址也是通过ARP协议查询网关的IP192.168.1.1得到的。

假设此时网络中另一台主机,比如主机C它的IP是192.168.1.11,它一直在网络中广播一包免费ARP包,这帧IP报文中伪造了其IP地址是192.168.1.1(也就是路由器的MAC地址),MAC地址是自己这一帧,免费ARP包发送到网络中之后,相当于告诉网络中的其他主机192.168.1.1在我这里。

主机A收到后,按照我们上面讲的内容,主机A会误认为192.168.1.1的MAC地址改了,从而修改自己的ARP表。

这样所有正常通信的数据包填写的目标MAC地址都会变成主机C的MAC地址,这些数据包都会被发送到主机C上,从而导致主机A无法正常上网。

这就是一个典型的ARP攻击的案例。

发生ARP攻击后会导致网络中所有设备都无法正常访问。互联网防御ARP攻击是一件非常困难的事情,因为这种ARP欺骗报文无法有效的进行检测。

最简单的方法还是配置静态ARP,通过静态配置的方式将网关的IP地址和MAC地址绑定。这种方法虽然普通用户操作起来也有一定难度,但确实是最简单行之有效的方法。

相关推荐
黑客Ash1 小时前
【D01】网络安全概论
网络·安全·web安全·php
->yjy1 小时前
计算机网络(第一章)
网络·计算机网络·php
摘星星ʕ•̫͡•ʔ2 小时前
计算机网络 第三章:数据链路层(关于争用期的超详细内容)
网络·计算机网络
.Ayang3 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
好想打kuo碎3 小时前
1、HCIP之RSTP协议与STP相关安全配置
网络·安全
虚拟网络工程师4 小时前
【网络系统管理】Centos7——配置主从mariadb服务器案例(下半部分)
运维·服务器·网络·数据库·mariadb
JosieBook5 小时前
【网络工程】查看自己电脑网络IP,检查网络是否连通
服务器·网络·tcp/ip
黑客Ash7 小时前
计算机中的网络安全
网络·安全·web安全
PersistJiao7 小时前
Spark 分布式计算中网络传输和序列化的关系(二)
大数据·网络·spark·序列化·分布式计算