什么是ARP地址?什么是ARP攻擊?如何利用ARP命令解決網絡故障
有朋友多次問到,如何防止ip地址沖突?如何解決?很多情況下ip地址沖突除了人為,大多數都是由arp所造成的,今天我們就一起來了解一下arp相關的內容。
一、什么是arp
1. 什么是arp
地址解析協議(Address Resolution Protocol),其基本功能為透過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。它是IPv4中網絡層必不可少的協議,不過在IPv6中已不再適用,并被鄰居發現協議(NDP)所替代。
說白了,就是把通過ip地址找到設備mac地址。
2. arp有什么作用
在計算機間通信的時候,計算機要知道目的計算機是誰(就像我們人交流一樣,要知道對方是誰),這中間需要涉及到MAC地址,而MAC是真正的電腦的唯一標識符。
為什么需要ARP協議呢?因為在OSI七層模型中,對數據從上到下進行封裝發送出去,然后對數據從下到上解包接收,但是上層(網絡層)關心的IP地址,下層關心的是MAC地址,這個時候就需要映射IP和MAC,通過ip地址找到mac地址。
二、arp命令的使用
arp的命令一般有三個用法,就是查詢顯示、添加記錄、與刪除記錄,這個在我們做網絡項目時經常會用到。
1. arp -a ,當你需要顯示當期ip地址對應的mac地址時使用
在命令提示符中輸入“arp -a”并回車;自動在緩存中,讀取IP地址和mac地址的對應關系表;
2. arp -s ,當你需要手動添加一條arp記錄時使用。
手工輸入一條ARP項目,格式為“ARP+空格+-a+IP地址+MAC地址”;
如下圖,我特意用arp -a查詢了ARP記錄;
其實這個命令也叫作綁定mac地址的命令,例如一個公司的網絡,員工經常喜歡改自己電腦的ip地址,經常會造成ip地址混亂,無法管理,那么這個時候你只需要把它的ip地址與它電腦mac地址進行綁定,那么下次出現網絡故障,就可以直接mac地址定位到那幾臺電腦。
3. arp -d,當你覺得某條arp記錄有問題時,可以刪除。
功能為:刪除所有ARP記錄
其實如果想徹底清空ARP列表,需要您禁止所有網絡連接,否則網絡數據交互過程中仍然會產生新的ARP列表。
那么有朋友會問,這三條命令會有什么用呢?
其實用途挺大的,例如,當你網絡中出了問題,可能是有某些ip地址發生沖突了,mac對應的ip地址有誤,那么你可以對它進行刪除這條arp記錄,然后重新添加新的記錄,網絡問題就會得到解決。
三、什么arp攻擊
1. 什么是arp攻擊
ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的進行。基于ARP協議的這一工作特性,黑客向對方計算機不斷發送有欺詐性質的ARP數據包,數據包內包含有與當前設備重復的Mac地址,使對方在回應報文時,由于簡單的地址重復錯誤而導致不能進行正常的網絡通信。
2. arp地址如何防御
一般情況下,受到ARP攻擊的計算機會出現兩種現象:
- 不斷彈出“本機的XXX段硬件地址與網絡中的XXX段地址沖突”的對話框。
- 計算機不能正常上網,出現網絡中斷的癥狀。
這類情況,在我們監控系統中或者用戶較多的網絡中出現的比較多,經常會出現ip地址沖突等問題,那么如何預防呢?
對于監控或網絡系統中,一旦用戶較多,就需要劃分vlan或者對網絡進行端口隔離,避免受到arp攻擊后,擴散到其它設備上,通常有以下三個方法。
(1) ARP雙向綁定
在pc端上 IP+mac 綁定, 在網絡設備(交換路由)上 采用ip+mac+端口綁定
網關也進行IP和mac的靜態綁定。
(2) 建立DHCP服務器
ARP攻擊一般先攻擊網關,將DHCP服務器建立在網關上,也可采用arp過濾的防火墻。
(3) 劃分安全區域
ARP廣播包是不能跨子網或網段傳播的,網段可以隔離廣播包。VLAN就是一個邏輯廣播域,通過VLAN技術可以在局域網中創建多個子網,就在局域網中隔離了廣播。。縮小感染范圍。 但是,安全域劃分太細會使局域網的管理和資源共享不方便。
3. 出現了arp攻擊后如何解決
受到arp攻擊后,網絡可能已經斷了,時查看此對照表發現,網關的Mac地址改變了。
(1) 然后輸入 arp -a
可以看到所有網關的列表,但是正常情況下,應該只有一個網關,多出來的,肯定是arp攻擊發起者的電腦偽裝的網關。
(2) 然后arp -d.
清除所有網關,然后你的電腦會自己找網關。
(3) 在arp -a
列出新找的網關,如果仍有多個,再繼續arp -d。直到arp -a只出現一條記錄、
這個列表會顯示網關的IP地址和MAC地址,就是你的網關。
(4) arp -s ,再重新綁定
輸入 arp -s xxx.xxx.xxx.xxx ab-cd-ef-gh-ij-kl
xxx.xxx.xxx.xxx表示網關的IP地址,ab-cd-ef-gh-ij-kl表示網關的MAC地址。
