- 1、本文档共25页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
ARP概述及主流ARP防火墙横向比较(转)
ARP 概述及主流ARP 防火墙横向比较(转)
序言
ARP 欺骗是个很老的话题了,自从有了TCP/IP 协议的那一刻起它就存在了。曾起何时,ARP 不过是大学
校园的“赖皮”学生用来争抢IP 的一种技术手段而已!而现在利用ARP 攻击方式盗取密码的事情数见不鲜!
由于ARP 攻击导致频繁掉线的事情频频出现。,让人很恼火。本文将着力解释什么是ARP 攻击及其原理
等,让读者朋友们对其有个深入的了解,并通过对国内六款主流的ARP 防火墙的横向评测,为读者挑出自
己满意的ARP 防火墙。
什么是ARP
ARP 是地址转换协议(Address Resolution Protocol )的英文缩写,它是一个链路层协议,工作在OSI
模型的第二层,在本层和硬件接口间进行联系,同时对上层(网络层)提供服务。二层的以太网交换设备
并不能识别32 位的IP 地址,它们是以48 位以太网地址(就是我们常说的MAC 地址)传输以太网数据
包的。也就是说IP 数据包在局域网内部传输时并不是靠IP 地址而是靠MAC 地址来识别目标的,因此IP
地址与MAC 地址之间就必须存在一种对应关系,而ARP 协议就是用来确定这种对应关系的协议。
Windows 操作系统,在命令行窗口输入arp -a命令可查看本机当前的ARP 缓存表,ARP 缓存表保存的
就是IP 地址与MAC 地址的对应关系,如图 1 所示:
(图:1)
上图中,Internet Address指的就是IP 地址,Physical Address指的就是MAC 地址。
ARP 欺骗原理(此资料引自彩影软件官方网站)
要说到ARP 的欺骗原理,就不得不先说下ARP 协议的工作原理:
ARP 数据包根据接收对象不同,可分为两种:
1. 广播包(Broadcast)。广播包目的MAC 地址为FF-FF-FF-FF-FF-FF,交换机设备接收到广播包后,会
把它转发给局域网内的所有主机。
2. 非广播包(Non-Broadcast)。非广播包后只有指定的主机才能接收到。
ARP 数据包根据功能不同,也可以分为两种:
1. ARP 请求包(ARP Request)。ARP 请求包的作用是用于获取局域网内某IP 对应的MAC 地址。
2. ARP 回复包(ARP Reply)。ARP 回复包的作用是告知别的主机,本机的IP 地址和MAC 是什么。
广播的一般都是ARP 请求包,非广播的一般都是ARP 回复包。
假设局域网内有以下两台主机,主机名、IP 地址、MAC 地址分别如下:
主机名 IP 地址 MAC 地址
A 192.168.0.1 AA-AA-AA-AA-AA-AA
B 192.168.0.2 BB-BB-BB-BB-BB-BB
当主机A 需要与主机B 进行通讯时,它会先查一下本机的ARP 缓存中,有没有主机B 的MAC 地址。如
果有就可以直接通讯。如果没有,主机A 就需要通过ARP 协议来获取主机B 的MAC 地址,具体做法相当
于主机A 向局域网内所有主机喊一嗓子:“喂~谁是192.168.0.2?我是192.168.0.1,我的MAC 地址
是AA-AA-AA-AA-AA-AA
。你的MAC 地址是什么,快告诉我”,这时候主机A 发的数据包类型为:广播-请求。
当主机B 接收到来自主机A 的“ARP 广播-请求”数据包后,它会先把主机A 的IP 地址和MAC 地址对应关
系保存/更新到本机的ARP 缓存表中,然后它会给主机A 发送一个“ARP 非广播-回复”数据包,其作用相
当于告诉主机A:“嘿,我是192.168.0.2,我的MAC 地址是BB-BB-BB-BB-BB-BB”。当主机A 接收
到主机B 的回复后,它会把主机B 的IP 地址和MAC 地址对应关系保存/更新到本机的ARP 缓存表中,之
后主机A 和B 就可以进行通讯了。
从上述局域网主机通讯过程可以看出,主机在两种情况下会保存、更新本机的ARP 缓存表,
1. 接收到“ARP 广播-请求”包时
2. 接收到“ARP 非广播-回复”包时
从《ARP 协议工作原理》一文我们已经了解到,主机在两种情况下会保存、更新本机的ARP 缓存表,
1. 接收到“ARP 广播-请求”包时
2. 接收到“ARP 非广播-回复”包时
从中我们可以看出,ARP 协议是没有身份验证机制的,局域网内任何主机都可以随意伪造ARP 数据包,
ARP 协议设计天生就存在严重缺陷。
假设局域网内有以下三台主机(其中GW 指网关),主机名、IP 地址、MAC 地址分别如下:
主机名 IP
文档评论(0)