1. 什麼是ARP
地址解析協議,即ARP(Address Resolution Protocol),是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到區域網絡上的所有主機,並接收返回消息,以此確定目標的物理地址;收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間,下次請求時直接查詢ARP緩存以節約資源。
地址解析協議是建立在網路中各個主機互相信任的基礎上的,區域網絡上的主機可以自主發送ARP應答消息,其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存;由此攻擊者就可以向某一主機發送偽ARP應答報文,使其發送的信息無法到達預期的主機或到達錯誤的主機,這就構成了一個ARP欺騙。
(1)計算機網路arp高速緩存表擴展閱讀:
RARP和ARP不同,地址解析協議是根據IP地址獲取物理地址的協議,而反向地址轉換協議(RARP)是區域網的物理機器從網關伺服器的ARP表或者緩存上根據MAC地址請求IP地址的協議,其功能與地址解析協議相反。與ARP相比,RARP的工作流程也相反。首先是查詢主機向網路送出一個RARP Request廣播封包,向別的主機查詢自己的IP地址。這時候網路上的RARP伺服器就會將發送端的IP地址用RARP Reply封包回應給查詢者,這樣查詢主機就獲得自己的IP地址了。
2. 添加靜態arp高速緩存條目能從根本上解決arp欺騙嗎
關於Arp病毒及解決方法基本ARP介紹 ARP 「Address Resolution Protocol」(地址解析協議),區域網中,網路中實際傳輸的是「幀」,幀裡面是有目標主機的MAC地址的。所謂「地址解析」就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。 ARP協議的工作原理:在每台安裝有TCP/IP協議的電腦里都有一個ARP緩存表,表裡的IP地址與MAC地址是一一對應的,如表所示。 我們以主機A(192.168.1.5)向主機B(192.168.1.1)發送數據為例。當發送數據時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀裡面發送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網路上發送一個廣播,目標MAC地址是「FF.FF.FF.FF.FF.FF」,這表示向同一網段內的所有主機發出這樣的詢問:「192.168.1.1的MAC地址是什麼?」網路上其它主機並不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應:「192.168.1.1的MAC地址是00-aa-00-62-c6-09。」這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表。ARP Spoofing攻擊原理分析 在區域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的。ARP協議對網路安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網路中產生大量的ARP通信量使網路阻塞或者實現「man in the middle」 進行ARP重定向和嗅探攻擊。 用偽造源MAC地址發送ARP響應包,對ARP高速緩存機制的攻 擊。 每個主機都用一個ARP高速緩存存放最近IP地址到MAC硬體地址之間的映射記錄。MS Windows高速緩存中的每一條記錄(條目)的生存時間一般為60秒,起始時間從被創建時開始算起。 默認情況下,ARP從緩存中讀取IP-MAC條目,緩存中的IP-MAC條目是根據ARP響應包動態變化的。因此,只要網路上有ARP響應包發送到本機,即會更新ARP高速緩存中的IP-MAC條目。 攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網路中斷或中間人攻擊。 ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和 MAC地址存儲在ARP緩存中。因此,B向A發送一個自己偽造的ARP應答,而這個應答中的數據為發送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC,這里被偽造了)。當A接收到B偽造的ARP應答,就會更新本地的ARP緩存(A可不知道被偽造了)。 當攻擊源大量向區域網中發送虛假的ARP信息後,就會造成區域網中的機器ARP緩存的崩潰。 Switch上同樣維護著一個動態的MAC緩存,它一般是這樣,首先,交換機內部有一個對應的列表,交換機的埠對應MAC地址表Port n <-> Mac記錄著每一個埠下面存在那些MAC地址,這個表開始是空的,交換機從來往數據幀中學習。因為MAC-PORT緩存表是動態更新的,那麼讓整個 Switch的埠表都改變,對Switch進行MAC地址欺騙的Flood,不斷發送大量假MAC地址的數據包,Switch就更新MAC-PORT緩存,如果能通過這樣的辦法把以前正常的MAC和Port對應的關系破壞了,那麼Switch就會進行泛洪發送給每一個埠,讓Switch基本變成一個 HUB,向所有的埠發送數據包,要進行嗅探攻擊的目的一樣能夠達到。也將造成Switch MAC-PORT緩存的崩潰,如下下面交換機中日誌所示: Internet 172.20.156.10000b.cd85.a193 ARPAVlan256Internet 172.20.156.50000b.cd85.a193 ARPAVlan256Internet 172.20.156.254 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.53 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.33 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.130000b.cd85.a193
3. 電腦的ARP緩存在哪
樓上正解.arp -a會顯示出當前系統arp緩存表中IP地址與網卡MAC地址的綁定情況,後面dym**單詞代表動態綁定,stat**代表靜態綁定.
arp -d命令可以清除系統當前的arp緩存表.
4. ARP緩存的作用是什麼
16. ARP緩存的 Key:能夠查看本地計算機或另一台計算機的arp高速緩存中的當前內容。此外,使用arp命令,也可以用人工方式輸入靜態的網卡物理/ip地址對,你可能會使用這種方式為預設網關和本地伺服器等常用主機進行這項作,有助於減少網路上的信息量 Key:arp -a或arp -g用於查看高速緩存中的所有項目 Key:在命令使用arp-s IP (物理地址)進行綁定,它是手工設置,通信是可以直接訪問那台設備。 Key:三層二層都有 Key:mac地址 Key:有,包括目標IP,源IP,目標MAC,源MAC信息 Key:20位位元組 Key:協議是NetBIOS,能路由 Key:路由是指為一條信息選擇最佳線路傳輸路徑的過程。 路由表供路由選擇時使用。路由表就像我們平時使用的地圖一樣,標識著各種路線,路由表中保存著子網的標志信息、網上路由器的個數和下一個路由器的名字等內 容。路由表可以是由系統管理員固定設置好的,也可以由系統動態修改,可以由路由器自動調整,也可以由主機控制。 路由協議是實現路由演算法的協議,簡單地說,它給網路協議做導向。路由協議如:IGRP、EIGRP、OSPF、EGP、BGP、IS-IS及RIP等。 Key:靜態路由是在路由器中設置的固定的路由表。除非網路管理員干預,否則靜態路由 不會發生變化。由於靜態路由不能對網路的改變作出反映,一般用於網路規模大、拓 撲結構固定的網路中。靜態路由的優點是簡單、高效、可靠。在所有的路由中,靜態路 由優先順序最高。當動態路由與靜態路由發生沖突時,以靜態路由為准。動態路由是網路中的路由器之間相互通信,傳遞路由信息,利用收到的路由信息更新路由器表 的過程。它能實時地適應網路結構的變化。如果路由更新信息表明發生了網路變化,路由選擇軟體就會重新計算路由,並發出新的路由更新信息。這些信息通過各個 網路,引起各路由器重新啟動其路由演算法,並更新各自的路由表以動態地反映網路拓撲變化。動態路由適用於網路規模大、網路拓撲復雜的網路。當然,各種動態路 由協議 會不同程度地佔用網路帶寬和CPU資源靜態路由和動態路由有各自的特點和適用范圍,因此在網路中動態路由通常作為靜態路由的補充。當一個分組在路由器中進 行尋徑時,路由器首先查找靜態路由,如果查到則根據相應的靜態路由轉發分組;否則再查找動態路由根據是否在一個自治域內部使用,動態路由協議分為內部網關 協議(IGP)和外部網關協議(EGP)。這里的自治域指一個具有統一管理機構、統一路由策略的網路。自治域內部採用的路由選擇協議稱為內部網關協議,常 用的有RIP、OSPF;外部網關協議 Key:距離矢量路由協議和鏈路狀態路由協議 Key:ip route 0.0.0.0 0.0.0.0 x.x.x.x Key: 255.255.255.255是廣播地址,向所有路由發包。 Key:0.0.0.0 是無效地址 ping 了後 會顯示 destination specified is invalid(無效地址) Key:172.16.255.255是向區域網內發送廣播,255.255.255.255是向全網內發送廣播 Key:使用網路層協議ICMP,ICMP數據包 Key:因為一個網路如果沒有分層,它是無法管理的,需要有一定的層次結構才能有效的實現網路的通信。 Key:OSI它分層結構復雜,難於管理,OSI分7層也不利於網路的通信,多一層網路的消耗和開銷就增加。 現實用的是TCP/IP ,TCP/IP分層結構清晰,便於人們有效的分析它每層的信息,它將OSI的上功能三層進行合並,用一個應用層實現其功能.
5. arp是什麼
想了解的進ARP攻擊的原理,現象,和解決方法是什麼?
1.首先給大家說說什麼是ARP
ARP(Address Resolution Protocol)是地址解析協議,是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網路層(IP層,也就是相當於OSI的第三層)地址解析為數據連接層(MAC層,也就是相當於OSI的第二層)的MAC地址。
ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網路流通的基礎,而且這個緩存是動態的。
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,當區域網中的某台機器B向A發送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答後,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於區域網的網路流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網路不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。
2.網路執法官利用的就是這個原理!
在網路執法官中,要想限制某台機器上網,只要點擊"網卡"菜單中的"許可權",選擇指定的網卡號或在用戶列表中點擊該網卡所在行,從右鍵菜單中選擇"許可權",在彈出的對話框中即可限制該用戶的許可權。對於未登記網卡,可以這樣限定其上線:只要設定好所有已知用戶(登記)後,將網卡的默認許可權改為禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC,使其找不到網關真正的MAC地址,這樣就可以禁止其上網。
3.修改MAC地址突破網路執法官的封鎖
根據上面的分析,我們不難得出結論:只要修改MAC地址,就可以騙過網路執法官的掃描,從而達到突破封鎖的目的。下面是修改網卡MAC地址的方法:
在"開始"菜單的"運行"中輸入regedit,打開注冊表編輯器,展開注冊表到:HKEY_LOCAL_
MACHINE/System/CurrentControl
Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
18}子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網卡,就有0001,0002......在這里保存了有關你的網卡的信息,其中的DriverDesc內容就是網卡的信息描述,比如我的網卡是Intel 210
41 based Ethernet Controller),在這里假設你的網卡在0000子鍵。
在0000子鍵下添加一個字元串,命名為"NetworkAddress",鍵值為修改後的MAC地址,要求為連續的12個16進制數。然後在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵,在該子鍵下添加名為"default"的字元串,鍵值為修改後的MAC地址。
在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字元串,其作用為指定Network
Address的描述,其值可為"MAC Address"。這樣以後打開網路鄰居的"屬性",雙擊相應的網卡就會發現有一個"高級"設置,其下存在MAC Address的選項,它就是你在注冊表中加入的新項"NetworkAddress",以後只要在此修改MAC地址就可以了。
關閉注冊表,重新啟動,你的網卡地址已改。打開網路鄰居的屬性,雙擊相應網卡項會發現有一個MAC Address的高級設置項,用於直接修改MAC地址。
MAC地址也叫物理地址、硬體地址或鏈路地址,由網路設備製造商生產時寫在硬體內部。這個地址與網路無關,即無論將帶有這個地址的硬體(如網卡、集線器、路由器等)接入到網路的何處,它都有相同的MAC地址,MAC地址一般不可改變,不能由用戶自己設定。MAC地址通常表示為12個16進制數,每2個16進制數之間用冒號隔開,如:08:00:20:0A:8C:6D就是一個MAC地址,其中前6位16進制數,08:00:20代表網路硬體製造商的編號,它由IEEE分配,而後3位16進制數0A:8C:6D代表該製造商所製造的某個網路產品(如網卡)的系列號。每個網路製造商必須確保它所製造的每個乙太網設備都具有相同的前三位元組以及不同的後三個位元組。這樣就可保證世界上每個乙太網設備都具有唯一的MAC地址。
另外,網路執法官的原理是通過ARP欺騙發給某台電腦有關假的網關IP地址所對應的MAC地址,使其找不到網關真正的MAC地址。因此,只要我們修改IP到MAC的映射就可使網路執法官的ARP欺騙失效,就隔開突破它的限制。你可以事先Ping一下網關,然後再用ARP -a命令得到網關的MAC地址,最後用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。
4.找到使你無法上網的對方
解除了網路執法官的封鎖後,我們可以利用Arpkiller的"Sniffer殺手"掃描整個區域網IP段,然後查找處在"混雜"模式下的計算機,就可以發現對方了。具體方法是:運行Arpkiller(圖2),然後點擊"Sniffer監測工具",在出現的"Sniffer殺手"窗口中輸入檢測的起始和終止IP(圖3),單擊"開始檢測"就可以了。
檢測完成後,如果相應的IP是綠帽子圖標,說明這個IP處於正常模式,如果是紅帽子則說明該網卡處於混雜模式。它就是我們的目標,就是這個傢伙在用網路執法官在搗亂。
掃描時自己也處在混雜模式,把自己不能算在其中哦!
找到對方後怎麼對付他就是你的事了,比方說你可以利用網路執法官把對方也給封鎖了!:-)
6. ARP緩存表存在哪裡
arp緩存表,如果是在交換機或者路由或者終端都是保存在內存中的 ram
7. arp協議的主要功能
主要功能是將IP地址解析為物理地址。
地址解析協議,即ARP(Address Resolution Protocol),是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到區域網絡上的所有主機,並接收返回消息,以此確定目標的物理地址。
收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間,下次請求時直接查詢ARP緩存以節約資源。地址解析協議是建立在網路中各個主機互相信任的基礎上的,區域網絡上的主機可以自主發送ARP應答消息,其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存。
由此攻擊者就可以向某一主機發送偽ARP應答報文,使其發送的信息無法到達預期的主機或到達錯誤的主機,這就構成了一個ARP欺騙。ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關系、添加或刪除靜態對應關系等。相關協議有RARP、代理ARP。NDP用於在IPv6中代替地址解析協議。
8. 主機中的arp高速緩存用於存放什麼信息怎麼查看
開始—>運行—>輸入cmd,確定—>輸入arp -d(注意-前有個空格)就是清除ARP緩存。
arp命令允許用戶查看和修改arp告訴緩存。如果同一子網的兩台主機不能成功的PING到對方,可以在每台計算機上運行命令arp -a查看是否有各自正確的MAC地址。而arp -d,後面加上IP的命令的意思就是從arp高速緩存中刪除列出的項。
在區域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的.通過偽造IP地址和MAC地址,造成產生大量的ARP通信量使網路阻塞叫ARP欺騙
9. 計算機網路 關於ARP的問題
肯定不對。
假設主機A和B在同一個網段,主機A要向主機B發送信息。具體的地址解析過程如下
(1) 主機A首先查看自己的ARP表,確定其中是否包含有主機B對應的ARP表項。如果找到了對應的MAC地址,則主機A直接利用ARP表中的MAC地址,對IP數據包進行幀封裝,並將數據包發送給主機B。
(2) 如果主機A在ARP表中找不到對應的MAC地址,則將緩存該數據報文,然後以廣播方式發送一個ARP請求報文。ARP請求報文中的發送端IP地址和發送端MAC地址為主機A的IP地址和MAC地址,目標IP地址和目標MAC地址為主機B的IP地址和全0的MAC地址。由於ARP請求報文以廣播方式發送,該網段上的所有主機都可以接收到該請求,但只有被請求的主機(即主機B)會對該請求進行處理。
10. 高速緩存區中的ARP表是人工建立的嗎
是。
高速緩沖區中的ARP表是由人工建立的。ARP是TCP/IP協議族中的一個重要協議,用於確定對應IP地址的網卡物理地址。使用arp命令能看本地計算機或另一台計算機的ARP高速緩存中的當前內容。
另外使用arp命令可以人工方式設置靜態的網卡物理地址/IP地址對,使用這種方式可以為預設網關和本地伺服器等常用主機進行本地靜態配置,這有助於減少網路上的信息量。
(10)計算機網路arp高速緩存表擴展閱讀:
ARP高速緩存按照預設設置的項目是動態的,每當向指定地點發送數據並且此時高速緩存中不存在當前項目時,ARP便會自動添加該項目。
地址解析協議是建立在網路中各個主機互相信任的基礎上的,網路上的主機可以自主發送ARP應答消息,其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存。
由此攻擊者就可以向某一主機發送偽ARP應答報文,ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關系、添加或刪除靜態對應關系等。