5.1 ARP协议

ARP协议

一 以太网

・以太网工作在数据链路层

・以太网的由来

   ・1973年Xerox公司的X-Write（29.4Mb/s）

    ・1979年DIX（三家公司联合）的以太网（10M/s）

    ・1983年6月，IEEE标准委员会通过了第一个802.3标准，1990年9月通过了使用双绞线介质的以太网(10Base-T)标准

    ・1991-1992年间Grand Junction公司的快速以太网（100M/s）；之后的千兆以太网

・以太网帧格式

1 MAC地址：用来标识主机身份的、制造在网卡上的一个硬件地址，及网卡的物理地址；全球唯一

・组成：MAC地址由48位二进制数组成，一般分为六段，用16进制表示；其中前24位是生产商向IEEE申请的厂商编号，后24位是网络接口卡序列号

・特性：第8位为0时，表示为单播地址；为1时，表示为组播地址

单播：一对一，一台主机发送的数据只发送给另一台主机；一块物理网卡的MAC地址一定是单播地址

广播：一对多，一台主机发送的数据全网段所有主机都能接收；广播地址全为1，即FF-FF-FF-FF-FF-FF

组播：一对特定的一组，一台主机发送的数据，针对一个特定的组能接收

    2 以太网帧格式：以太网有多重帧格式，常用的为Ethernet II的帧格式

    ・数据链路层封装

        前导码：八个字节，前七个字节的值为0xAA，后一个字节的值为0xAB，在DX以太网中，前导码被认为是物理层封装的一部分

        目的地址：六个字节，标识了帧的目的站点的MAC地址，可以是单播、组播或广播地址

        源地址：六个字节，标识了自己的MAC地址，一定是单播地址

        类型域：两个字节，标识了上层协议的类型

        数据域：44到1500个字节，封装了通过以太网传输的高层协议信息

        帧校验序列：四个字节，是从目标地址开始到数据域结束这部分的校验和

二 广播与广播域

・在超市找人时我们可以通过广播进行，当知道对方的位置时就可以直接去找；网络中也类似，不知道对方地址就要进行广播，就是发送广播帧；而知道对方地址就直接发送单播；广播的范围就是广播域

・广播通信是一对多的通信形式；单播通信是一对一的通信形式

・广播：将广播地址作为目的地址的数据帧

・广播域：网络中能接收到同一个广播的所有节点集合

1 MAC地址广播

・MAC地址的广播地址为FF-FF-FF-FF-FF-FF

・MAC地址广播域是所有相连接的交换机和集线器的集合

・交换机转发MAC地址广播，而路由器会阻挡MAC地址广播

2 IP地址广播

・IP地址的广播地址为IP网段的最后一个地址（255）

・路由器会阻挡IP地址广播

二 ARP协议

・ARP概述：Address Resolution Protocol，地址解析协议；将一个已知的IP地址解析成MAC地址

・ARP地址解析过程：

・主机1发送数据给主机2，它先检查自己的ARP缓存表（存储在内存中的一个IP地址和MAC地址一一对应的表，windows系统中使用arp –a命令来显示ARP缓存表）

・如果表中没有主机2的IP和MAC对应表，ARP会发送一个广播（目的MAC地址为广播地址）

・交换机收到广播后将广播从出了接收口之外的所有接口转发出去

・主机收到广播，进行IP比较，与自己不同，则丢包，相同则单播回复一个ARP应答，告诉自己的MAC地址，同时将主机1的IP和MAC地址缓存到自己的ARP缓存表中

・主机收到应答数据帧后，在自己的ARP缓存表中添加主机2的IP地址和MAC地址的对应关系

・此时交换机已经在MAC地址表中记录了接口和MAC地址的对应关系

・windows系统ARP命令的使用

・有些ARP病毒会自动向外发送ARP应答信息，信息中IP地址是其他主机的IP地址，但是MAC地址却是假的，这样导致无法正常通信，所以就需要静态绑定ARP条目

・动态学习的ARP条目老化时间为120S，老化时间内没有收到条目中MAC地址主机的数据时后会自动删除该主机条目

・Cisco设备ARP命令的使用

・下面命令只能在真实机上使用，模拟器上不生效

三 ICMP协议

・ICMP概述：ICMP（Internet Control Message Protocol）协议（internet控制消息协议）主要用于在IP网络中发送控制消息，提供可能发生在通信环境中的各种问题的反馈，通过这些反馈信息管理员皆可以对所发生的问题做出判断，然后采取适当的措施去解决

・ICMP协议：ICMP是一个"错误侦测与回馈机制"，是通过IP数据包封装的，用来发送错误和控制消息；ICMP协议属于网络层协议

・ICMP数据的封装过程

・ICMP的使用：靠各种命令来实现，如ping命令

    Ping 192.168.1.1        测试连通性

    Ping –t 192.168.1.1        不停的ping（Ctrl+c终止）

    Ping –a 192.168.1.1        返回对方主机名

    Ping 192.168.1.1 –l 1000        改变ping包的大小（默认为32字节）

    返回信息

1连通的应答

2连接超时的应答

3不能建立连接的应答：一般为没有设置正确的网关或者断线的问题

4 应答为未知主机名：一般为DNS无法解析

四 ARP攻击与欺骗

・ARP攻击：让主机和网关无法通信，最终主机无法访问互联网

    ・原理

・制造假的ARP应答，并发送给局域网中除网关外所有的主机，应答中包含网关的IP地址和虚假的MAC地址

・造假的ARP应答，并发送给网关，应答中包含局域网中所有主机的IP地址和虚假MAC地址

・ARP欺骗：让目标主机通过攻击主机和网关通信，窃取机密信息

    ・原理

    ・ARP欺骗网关：制造假的ARP应答，并发送给局域网中的网关和主机，其中网关的应答中包含其他主机的IP和攻击主机的MAC地址；其他主机的应答中包含网关的IP和攻击主机的MAC地址

    ・ARP欺骗主机：制造假的ARP应答，并发送给局域网中的主机；其中主机1的应答包中包含主机2的IP和攻击主机的MAC地址，主机2的应答中包含主机1的IP地址和攻击主机的MAC地址