ARP阻断原理分析

ARP 阻断原理分析

 

ARP 阻断采用了 ARP 欺骗方法，阻断计算机利用 ARP 协议的原理打乱被阻断计算机和网络中其他计算机的 IP-MAC 地址对应表 (ARP 表 ) ，使被阻断计算机无法正常进行网络通信，从而达到阻断的目的。北信源内网安全产品采用的 ARP 阻断分为以下两种方式：

 

轻量级阻断：

阻断计算机向网络中广播一个 ARP 请求报文，将被阻断计算机的 IP 地址及对应的假 MAC 地址发送给网络内所有的计算机，每台计算机收到请求后便会对本地的 ARP 缓存进行更新，将收到的请求中的 IP 和对应的假 MAC 地址存储在 ARP 缓存中。这样对于网络中的计算机看来，被阻断计算机的 IP 地址没有变化，而它的 MAC 地址已经不是原来那个了。由于局域网的网络通信不是根据 IP 地址进行，而是按照 MAC 地址进行传输。因此，被阻断计算机便接收不到网络中计算机（不含阻断计算机）传送过来的信息。

 

重量级阻断：

阻断计算机冒充网络中的其他计算机（本网段 1-255 ）给被阻断计算机发送定向 ARP 应答报文，被阻断计算机收到请求后便会对本地的 ARP 缓存进行更新，将收到的请求中的 IP 和对应的假 MAC 地址存储在 ARP 缓存中。这样对于被阻断计算机看来，网络中的计算机的 IP 地址没有变化，而它们的 MAC 地址已经不是原来那个了。因此，被阻断计算机便不能向网络中的计算机（不含阻断计算机）传送信息。

 

附：

ARP （ Address Resolution Protocol ）是地址解析协议，是一种将 IP 地址转化成物理地址的协议。从 IP 地址到物理地址的映射有两种方式：表格方式和非表格方式。 ARP 具体说来就是将网络层（ IP 层，也就是相当于 OSI 的第三层）地址解析为数据连接层（ MAC 层，也就是相当于 OSI 的第二层）的 MAC 地址。

ARP 原理：某机器 A 要向主机 B 发送报文，会查询本地的 ARP 缓存表，找到 B 的 IP 地址对应的 MAC 地址后，就会进行数据传输。如果未找到，则广播 A 一个 ARP 请求报文（携带主机 A 的 IP 地址 Ia―― 物理地址 Pa ），请求 IP 地址为 Ib 的主机 B 回答物理地址 Pb 。网上所有主机包括 B 都收到 ARP 请求，但只有主机 B 识别自己的 IP 地址，于是向 A 主机发回一个 ARP 响应报文。其中就包含有 B 的 MAC 地址， A 接收到 B 的应答后，就会更新本地的 ARP 缓存。接着使用这个 MAC 地址发送数据（由网卡附加 MAC 地址）。因此，本地高速缓存的这个 ARP 表是本地网络流通的基础，而且这个缓存是动态的。

ARP 协议并不只在发送了 ARP 请求才接收 ARP 应答。当计算机接收到 ARP 应答数据包的时候，就会对本地的 ARP 缓存进行更新，将应答中的 IP 和 MAC 地址存储在 ARP 缓存中。因此，当局域网中的某台机器 B 向 A 发送一个自己伪造的 ARP 应答，而如果这个应答是 B 冒充 C 伪造来的，即 IP 地址为 C 的 IP ，而 MAC 地址是伪造的，则当 A 接收到 B 伪造的 ARP 应答后，就会更新本地的 ARP 缓存，这样在 A 看来 C 的 IP 地址没有变，而它的 MAC 地址已经不是原来那个了。由于局域网的网络流通不是根据 IP 地址进行，而是按照 MAC 地址进行传输。所以，那个伪造出来的 MAC 地址在 A 上被改变成一个不存在的 MAC 地址，这样就会造成网络不通，导致 A 不能 Ping 通 C ！这就是一个简单的 ARP 欺骗 。