举个例子来说明ARP和RARP协议的工作原理。例如两个位于同一个物理网络上运行TCP/IP协议的主机:主机A和主机B。主机A分配的IP地址是192.168.1.1,主机B分配的IP地址是192.168.1.2。
当主机A要与主机B通讯时,以下步骤可以将主机B软件指定的地址(192.168.1.2)解析成主机B硬件指定的媒体访问控制地址:
(1)根据主机A上的路由表内容,IP确定用于访问主机B的转发IP地址是192.168.1.2。然后主机A在自己本地ARP缓存中检查主机B的匹配硬件地址。
(2)如果主机A在缓存中没有找到映射,它将询问“192.168.1.2的硬件地址是什么?”从而将ARP请求帧广播到本地网络上的所有主机。源主机A的硬件和软件地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机未找到匹配值,它将丢弃ARP请求。
ARP协议应用与攻击原理(下)
代理服务器规避攻击
单位的代理服务器运行wingate服务,该服务器为双网卡,一块网卡连接联通宽带,一块网卡连接内部局域网,负责联通城域网用户访问公司局域网内OA服务器。最近用户反映,通过代理服务器登陆OA很困难。
检查发现,代理服务器宽带连接灯频繁闪烁,打开wingate的管理工具Gatekeeper,在Astivity窗口上看不断有各地的IP连接上来,并不断发生变化。但由于Wingate上做了严格设置,这些连接都没有被转发。
打开DOS命令窗口,输入netstat -a 命令查看网络连接情况,发现各地的IP都对Wingate的80端口处与监听状态(Time_wait),由此判断,代理服务器遭受到了DDOS攻击。各地的IP连接处与监听状态,使Wingate无法及时处理合法用户的正常连接,数据传输困难,OA页面打开困难或者下载不完全。
给注册表打造金钟罩(一)
安全隐患:现在的病毒和木马越来越聪明,不再只是简单地通过注册表的run值或MSCONFIG中的项目来进行明显的加载,比较高级的病毒和木马往往会选择通过系统的服务进行加载。因此,可以通过封杀它们的启动服务权限来达到防毒的目的。
解决办法:在“开始”→“运行”菜单中输入“regedt32”来启用带权限分配功能的注册表编辑器,先找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”分支,接着点击菜单栏中的“安全→权限”,在弹出的Services权限设置窗口中单击“添加”按扭,将Everyone账号导入进来。然后选中“Everyone”账号,将该账号的“读取”权限设置为“允许”,将它的“完全控制”权限取消。这样任何病毒和木马都无法自行启动系统服务了。
Read More
ARP协议应用与攻击原理(上)
IP数据包通过以太网发送,但以太网设备并不识别32位IP地址,它们以48位以太网地址传输以太网数据包。因此,必须把IP目的地址转换成以太网目的地址。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址,但这个目标MAC地址是如何获得的呢?
它就是通过地址解析协议获得的,ARP协议用于将网络中的IP地址解析为硬件地址(MAC地址),以保证通信的顺利进行。
Read More
如何加快登陆局域网的速度
1.在注册表中依次展开HKEY_LOCAL_MACHINE\System\CUrrentControlSet\Services\Class\NetTrans,在右边窗口中新建字符串值“MaxMTU”和“MaxMSS”,并分别设为“576”和“536”。
2.在注册表中依次展开HKEY_LOCAL_MACHINE\System\CUrrentControlSet\Services\VxD\MSTCP,将右边窗口中“DefaultRcvWindows”参数的值改为“6400”,将“DefaultTTL”参数的值改为“128”。