2023年7月31日发(作者：)

⽹络协议分析-ARP与RARPARP与RARPARP协议:地址解析协议，实现从IP地址到MAC地址的映射，询问⽬标IP对应的MAC地址。ARP 报⽂格式：ARP报⽂格式⽬的以太⽹地址全为1，即FF:FF:FF:FF:FF:FF，即在本地局域⽹内，所有的以太⽹接⼝接受这个数据帧。⽬的以太⽹地址帧类型：ARP是0x0806 RARP是0x8035帧类型：硬件类型与协议类型：以太⽹的值是1，IP协议的值是0806硬件类型与协议类型：硬件地址长度和协议地址长度： 硬件地址长度是48bit 代表MAC地址 协议地址长度是32bit 代表IP地址操作码： 1=>ARP请求 2=>ARP应答 3=>RARP请求 4=>RARP应答ARP发送时，只有⽬标硬件地址是空的，操作码为1，当⽬标主机收到ARP请求时，会把⾃⼰的MAC地址填写到这个字段，然后把操作码改为2,发送回去代理ARP：当ARP请求⽬标跨⽹段时，⽹关设备收到此ARP请求，会将⾃⼰的MAC地址返回给请求者。（善意的欺骗）代理ARP⽰意图但是在实际⽹络中，⽆论是同⽹段还是跨⽹段，都是采⽤的正常的ARP，⽽不是代理ARP。代理ARP仅⽤于以下情景：当电脑没有⽹关/路由功能时，并且需要跨⽹段通信时。ARP的捎带机制： 在请求其他主机物理地址时，把⾃⼰的IP/MAC映射⼀并写到请求报⽂中免费ARP： 当主机启动时，发送⼀个Gratuitous arp 请求，来请求IP地址对应的MAC地址 常⽤于双机热备系统，例如 Cisco的HSRP就采⽤了这种技术，虚拟出来的MAC地址是0000-0c07-ac+HSRP的group ID。同时VRRP也采⽤了这种技术。 另⼀种应⽤是⽤来检测IP冲突。ARP欺骗： 由于ARP并没有做⾝份验证处理，所以可以采⽤伪造ARP_replay 数据包来修改IP与MAC地址的映射，从⽽达到⾃⼰的⽬的。 防范⽅法： ⽹关定时发送IP/MAC映射 ⽹关定时发送IP/MAC映射 静态ARP静态ARP DHCP snoopingDHCP snooping 操作： 同⽹段：同⽹段： 可以直接修改ARP_replay 数据包 跨⽹段：跨⽹段： 采⽤ARP欺骗+ICMP重定向 ICMP重定向：ICMP重定向报⽂是ICMP控制报⽂中的⼀种，在特定情况下，路由器检测到⼀台机器使⽤⾮优化路由时，它会向该主机发送⼀个ICMP重定向报⽂，请求主机改变路由。路由器也会把初始数据报向它的⽬的地转发。 步骤：步骤： 1. ⾸先修改IP包的⽣存时间TTL为255 ，这样有利于做充⾜的⼴播。 2. 利⽤可以⾃由制作各种包的⼯具（hping2） 3. 使⽬标主机down掉 4. 发送⼀个ARP相应包，进⾏ARP欺骗 5. 现在每台主机都知道了新的IP/MAC对应关系，但是⽬前每台主机只会在局域⽹中查找这个地址，不会把数据包丢给路由 6. 构造ICMP重定向数据包，将到达改地址的路径通告为路由。 以上只是理想情况下，实际上主机接受ICMP重定向报⽂有⼀下限制：以上只是理想情况下，实际上主机接受ICMP重定向报⽂有⼀下限制： 1. 新路由必须是直达的 2. 重定向包必须来⾃去往⽬标的当前路由 3. 重定向包不能通知主机⽤⾃⼰做路由 4. 被改变的路由必须是⼀条间接路由ACD： IP地址冲突检测 ACD 分为 ARP检测报⽂和ARP通知报⽂，ARP检测报⽂将发送端IP地址设置为0，防⽌检测是发⽣污染。ARP通知报⽂是GARP报⽂（免费ARP），向全⽹⼴播⾃⼰的物理地址。 在刚收到IP分配后，会先向全⽹⼴播ACD探测报⽂，⼀般会有0-1s的延迟，如果经过三次ACD报⽂（每次间隔在1-2s之间） 没有相应的话，就开始发送通知报⽂。RARP： 反向ARP，⽤MAC地址来请求IP地址。 ⼯作原理： ▪ 发送主机发送⼀个本地RARP⼴播，在这个⼴播包中，声明⾃⼰的MAC地址，并且请求任何收到此请求的RARP服务器分配⼀个IP地址。 ▪ 本地RARP服务器，收到此请求后，检查RARP列表，查找该MAC地址对应的IP地址。 ▪ 如果存在记录，RARP服务器就会给源主机发送⼀个响应数据包，并将此IP提供给对⽅主机使⽤。 ▪ 如果不存在，则不做任何回应。 主要应⽤： ⽆盘⼯作站图⽚侵删⽂章有不正确之处，欢迎指出，谢谢