ARP和RARP工作原理
举个例子来说明ARP和RARP协议的工作原理。例如两个位于同一个物理网络上运行TCP/IP协议的主机:主机A和主机B。主机A分配的IP地址是192.168.1.1,主机B分配的IP地址是192.168.1.2。
当主机A要与主机B通讯时,以下步骤可以将主机B软件指定的地址(192.168.1.2)解析成主机B硬件指定的媒体访问控制地址:
(1)根据主机A上的路由表内容,IP确定用于访问主机B的转发IP地址是192.168.1.2。然后主机A在自己本地ARP缓存中检查主机B的匹配硬件地址。
(2)如果主机A在缓存中没有找到映射,它将询问“192.168.1.2的硬件地址是什么?”从而将ARP请求帧广播到本地网络上的所有主机。源主机A的硬件和软件地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机未找到匹配值,它将丢弃ARP请求。
(3)主机B确定ARP请求中的IP地址与自身IP地址匹配,将主机的硬件/软件地址映射添加到本地ARP缓存中
(4)主机B将包含其硬件地址的ARP回复消息直接发送回主机A。当主机A收到从主机B发来的ARP回复消息时,会用主机B的硬件/软件地址映射更新ARP缓存。主机B的媒体访问控制地址一旦确定,主机A就能向主机B发送IP通讯,为它找到主机的媒体访问控制地址。
RARP协议的工作原理
(1)发送主机发送一个本地的RARP广播,在此广播包中,声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址。
(2)本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC地址对应的IP地址。如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用,如果不存在,RARP服务器对此不做任何的响应。
(3)源主机收到从RARP服务器的响应信息,就利用得到的IP地址进行通讯。如果一直没有收到RARP服务器的响应信息,表示初始化失败。
ARP攻击原理分析
ARP病毒造成网络瘫痪的原因可以分为对路由器ARP表的欺骗和对内网PC的网关欺骗两种。
第一种必须先截获网关数据。它使路由器就收到一系列错误的内网MAC地址,并按照一定频率不断更新学习进行,使真实的地址信息无法通过更新保存在路由器中,造成的PC主机无法正常收到回应信息。
第二种是通过交换机的MAC地址学习机制,当局域网内某台主机已经感染ARP欺骗的木马程序时,就会欺骗局域网内所有主机和路由器,让所有上网的流量都必须经过病毒主机。
如果此时手工用PING命令对原有网关发送ICMP请求,会收到TTL生存时间超时的应答,同时PING后面的IP地址已经变为感染病毒的那台主机了,所以这种病毒还是比较容易查找到根源的。
这种病毒很容易造成整个网络的大面积瘫痪,大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。这些ARP木马病毒主机的真正目的是经常伪造断线的假象,那么用户就得重新登陆服务器,这样病毒主机就可以盗号了。
0 Comments