第四课 ARP协议.ppt

免费ARP 免费 ARP (gratuitous ARP)是指主机发送ARP查找自己的IP地址。通常，它发生在系统引导期间进行接口配置或更改IP地址的时候。 免费ARP报文的特点： 报文中携带的源IP和目的IP地址都是本机地址 报文源MAC地址是本机MAC地址。目的MAC地址为全0。 免费ARP 免费 ARP 可以有两个方面的作用： 查找相同IP地址：一个主机可以通过它来确定另一个主机是否设置了相同的I P地址。免费ARP的报文发出去如果收到回应，则证明自己目前使用的IP地址与某机器相同。在所有网络设备（包括计算机网卡）up的时候，都会发送这样的免费ARP广播，以宣告并确认有没有冲突。 更新ARP缓存：如果发送免费A R P的主机正好改变了硬件地址（很可能是主机关机了，并换了一块接口卡，然后重新启动），那么这个分组就可以使其他主机高速缓存中旧的硬件地址进行相应的更新。 RARP 当一个机器只知道它的物理地址时， RARP可用来获得它的逻辑地址。详细描述参见RFC903。 网络上的每个系统都具有唯一的硬件地址，它是由网络接口生产厂家配置的。一些网络主机，如无盘工作站，在它们被引导时不知道自己的IP地址。系统的 RARP 实现过程是从网络接口卡上读取唯一的硬件地址，然后发送一份 RARP 请求（一帧在网络上广播的数据），请求某个主机响应该无盘系统的 IP 地址（在 RARP 应答中）。 RARP RARP的分组格式与ARP完全一样，仅仅是操作字段是3（ RARP 请求）或者4（RARP应答）。 问题：RARP请求报文中，发送方硬件地址、发送方IP地址、目的硬件地址、目的IP地址 各字段都填充什么？ RARP 虽然 RARP 在概念上很简单，但是一个 RARP 服务器的设计与系统相关，而且比较复杂。 RARP 服务器的复杂性在于，服务器一般要为多个主机（网络上所有的无盘系统）提供硬件地址到 IP 地址的映射。该映射包含在一个磁盘文件中，由于内核一般不读取和分析磁盘文件，因此 RARP 服务器的功能就由用户进程来提供，而不是作为内核 TCP/IP 实现的一部分。RARP 请求是作为一个特殊类型的以太网数据帧来传送的（帧类型字段值为 0x8035）。这说明 RARP 服务器必须能够发送和接收这种类型的以太网数据帧。 目前，此协议逐渐被BOOTP和DHCP协议取代。 ARP病毒及防护介绍 现象 “ ARP 欺骗”系列病毒自 06 年出现以来，一直难以根除。一旦感染此病毒，就会在局域网内发起攻击，导致其他用户不能上网，危害严重。电脑中毒后会向同网段内所有计算机发ARP欺骗包，导致网络内其它电脑因网关物理地址被更改而无法正常上网，被欺骗电脑的典型症状是刚开机能上网，几分钟之后断网，过一会又能上网，或者重启一遍电脑就可以上网，一会又不好了，如此不断重复，影响正常使用。 ARP病毒及防护介绍 病毒原理 当某台电脑感染了 ARP 欺骗病毒 / 木马程序后，会不定期发送伪造的 ARP 响应报文和广播报文。受感染电脑发出的这种报文会欺骗所在网段其他电脑 。 一方面对其他电脑称自己的 mac 就是网关的 mac，导致其他电脑发送的信息不能直接到达网关。 另一方面对实际网关称其他电脑的mac都是自己的 mac，这样网关无法更新它的 ARP 表，无法正确的转发数据帧到实际用户电脑。 ARP病毒及防护介绍 病毒自查手段 对于Windows操作系统，在运行了一些网络应用后通过Alt＋Ctrl＋Del键进入Windows任务管理器，在进程页面中查看是否有1.exe、 2.exe、3.exe、……、10.exe中的任意一个或几个，如果有那么这台计算机基本已经中毒了。此外如果进程页面中有svhost32这个进程， 那么同样也有大于95％的可能性已经中毒了。应立即断网，认真清除本机病毒。 ARP病毒及防护介绍 静态绑定：最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。“arp -s IP? ?MAC地址”。所以把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。 使用ARP防护软件：常见的有ArpFix，AntiArp，360安全卫士等软件。 ArpFix软件下载： 43/tools/ArpFix.rar AntiArp 软件下载：/ 本章小结 ARP、RARP 掌握ARP分组格式 ARP的高速缓存，ARP命令 代理ARP 免费ARP 了解ARP病毒 * Powered by Sunry 实验2 内容： 用分析软件捕获ARP协议，进行分析。 捕获免费arp协议，进行分析。 练习arp命令的使用。 作业 ARP