arp协议栈.docx
《arp协议栈.docx》由会员分享,可在线阅读,更多相关《arp协议栈.docx(6页珍藏版)》请在冰豆网上搜索。
arp协议栈
竭诚为您提供优质文档/双击可除
arp协议栈
篇一:
实验2地址解析协议aRp
实验2地址解析协议(aRp)
【实验目的】
1.掌握aRp协议的报文格式
2.掌握aRp协议的工作原理
3.理解aRp高速缓存的作用
4.掌握aRp请求和应答的实现方法
5.掌握aRp缓存表的维护过程
【学时分配】
2学时
【实验环境】
该实验采用网络结构二
【实验原理】
一、物理地址与逻辑地址
1.物理地址
物理地址是节点的地址,由它所在的局域网或广域网定义。
物理地址包含在数据链路层的帧中。
物理地址是最低一级的地址。
物理地址的长度和格式是可变的,取决于具体的网络。
以太网使用写在网络接口卡(nic)上的6字节的标识作为物理地址。
物理地址可以是单播地址(一个接收者)、多播地址(一组接收者)或广播地址(由网络中的所有主机接收)。
有些网络不支持多播或广播地址,当需要把帧发送给一组主机或所有主机时,多播地址或广播地址就需要用单播地址来模拟。
2.逻辑地址
在互联网的环境中仅使用物理地址是不合适的,因为不同网络可以使用不同的地址格式。
因此,需要一种通用的编址系统,用来惟一地标识每一台主机,而不管底层使用什么样的物理网络。
逻辑地址就是为此目的而设计的。
目前internet上的逻辑地址是32位地址,通常称为ip地址,可以用来标识连接在internet上的每一台主机。
在internet上没有两个主机具有同样的ip地址。
逻辑地址可以是单播地址、多播地址和广播地址。
其中广播地址有一些局限性。
在实验三中将详细介绍这三种类型的地址。
二、aRp协议简介
internet是由各种各样的物理网络通过使用诸如路由器之类的设备连接在一起组成的。
主机发送一个数据包到另一台主机时可能要经过多种不同的物理网络。
主机和路由器都是在网络层通过逻辑地址来识别的,这个地址是在全世界范围内是惟一的。
然而,数据包是通过物理网络传递的。
在物理网络中,主机和路由器通过其物理地址来识别的,其范围限于本地网络中。
物理地址和逻辑地址是两种不同的标识符。
这就意味着将一个
数据包传递到一个主机或路由器需要进行两级寻址:
逻辑地址和物理地址。
需要能将一个逻辑地址映射到相应的物理地址。
aRp协议(地址解析协议)是“addressResolutionprotocol”的缩写。
所谓“地址解析”就是主机在发送帧前将目的逻辑地址转换成目的物理地址的过程。
在使用tcp/ip协议的以太网中,aRp协议完成将ip地址映射到mac地址的过程。
三、aRp报文格式
下图为aRp数据报的报文格式:
图2-1aRp报文格式
aRp报文格式具有如下的一些字段:
●硬件类型:
这是16位字段,用来定义运行aRp的网络的类型。
每一个局域网基于其类型被指派给一个整数。
例如,以太网的硬件类型是1。
aRp可用在任何网络上。
●协议类型:
这是16位字段。
用来定义协议的类型。
例如,对ipv4协议,这个字段的值是0x0800。
aRp可用于任何高层协议。
●硬件地址长度:
这是一个8位字段,用来定义以字节为单位的物理地址长度。
例如,以太网物理地址为6字节,所对应的硬件地址长度值为6。
●协议地址长度:
标识用于该数据包的逻辑地址的长度,用十进制标识,单位为一个字节,例如,ipv4为4个字节,所对应的协议地址长度值为4。
●操作码:
这是16位字段,用来定义数据包的类型。
已定义了两种类型:
为1时表示aRp请求,为2时表示aRp应答。
●发送端硬件地址:
这是可变长度字段,用来定义发送端的物理地址。
对于以太网这个字段是6字节长。
●发送端逻辑地址:
这是可变长度字段,用来定义发送端的逻辑地址。
对于逻辑地址为ip地址的网络,该字段长度为4字节。
●目的端硬件地址:
这是可变长度字段,用来定义目标的物理地址。
对于aRp请求,字段是全0,因为发送端不知道目标的物理地址(该字段长度为可变,如以太网硬件地址为6个字节)。
●目的端逻辑地址:
这是可变长度字段,用来定义目标的逻辑地址(该字段长度为可变,如ipv4协议的逻辑地址为4个字节)。
四、aRp封装
aRp数据报直接封装在数据链路帧中。
例如,在下图中,aRp数据包封装在以太网的帧中。
类型字段值为0x0806指出了此帧所携带的数据是aRp数据包。
图2-2aRp数据包的封装
五.aRp的运行过程
数据包传输过程可分为如下步骤:
1.发送端知道目的端的ip地址。
2.ip要求aRp创建一个aRp请求报文,其中包含了发送方的物理地址、发送方的ip地址和目的端的ip地址。
目的端的物理地址用0填充。
3.将报文传递到数据链路层,并在该层中用发送方的物理地址作为源地址,用物理广播地址作为目的地址,将其封装在一个帧中。
4.因为该帧中包含了一个广播目的地址,所以同一链路中的每个主机或路由器都接收到这个帧。
所有接收到该帧的主机都将其传递到aRp层进行处理。
除了目的端主机以外的所有主机都丢弃该报文。
5.目的端主机用一个包含其物理地址的aRp应答报文做出响应,并对该报文进行单播。
6.发送方接收到这个应答报文,这样它就知道了目标主机的物理地址。
aRp地址解析过程如下图所示。
六、aRp高速缓存
在真正的协议实现中,并不是每次发送ip报文前都需要发送aRp请求报文来获取目的mac地址。
在大多数的系统中都存在着一个aRp缓存表。
记录着一段时间内曾经获取过的mac地址和ip地址的映射关系,如下图所示:
图2-4aRp高速缓存
发送ip数据报前先对aRp缓存表进行查找,查看目的mac地址是否存在于缓存表中,如果存在,则不需要发送aRp请求报文而直接使用此地址进行ip数据包的发送。
如果不存在,则发送aRp请求报文,在收到aRp应答报文之后,使用应答报文中的目的mac地址发送ip数据包,并将目的mac地址存于aRp缓存表中供以后使用。
另外,aRp缓存表采用老化机制,在一段时间内如果表中的某一项没有使用,就会被删除,这样可以大大减少aRp缓存表的长度,加快查询速度。
下图描述了aRp高速缓存的使用与更新过程:
图2-5aRp高速缓存的使用与更新过程
七、代理aRp
代理aRp可用来产生划分子网的效应。
如果aRp请求是从一个网络中的主机发往另一个网络中的主机,那么连接这两个网络的路由器就可以回答该请求,当这个路由器收到真正的ip数据包时,它就把该数据包发送给相应的主机或路由器。
例如,在下图所示的网络中,安装在右边主机上的代理aRp应答对目标ip地址为141.23.56.23的aRp请求。
篇二:
aRpipV4协议
1、ipV4协议分析
通过etheral将pc1的网卡设置为通常(非混杂模式)
(1)观察通常的ipV4分组
用web浏览器访问internet上的站点,用ping命令探测pc2、pc3及互联网上的一些站点,用ping–f命令设置dF值为1,即不分段,探测一些站点。
用tracert命令测试广域网上的站点。
观察捕获到的分组,回答以下问题:
1)Version字段的值是不是4?
头部字段的值一般是多少?
结合ipV4分组头部格式可以看出头部字段的单位是多少?
有没有更大的头部字段值的ipV4分组?
如果有的话请找到这种分组数据部分的开始处。
答:
Version字段的值为4.头部字段的值一般为20,单位为byte。
网络中存在更大的头部字节,但是本次试验没有捕获到。
2)观察typeofservice字段。
找几个分组验证一下totallength、headerchecksum以及sourceaddress和destinationaddress字段是否正确。
3)观察tracert程序发送的一系列分组中的ttl字段,它们有何特点?
3.aRp协议分析
(1)观察aRp缓存生存时间
(2)观察aRp过程
(3)观察aRp分组格式
1)观察aRp请求\应答分组的以太网帧的内容,看看有何异同?
aRp请求分组的以太帧内容只显示了以太网头部,源mac地址是本机mac地址,目的mac地址是广播地址,分组类型为0x0806。
而aRp应答分组的以太网帧内容包含了以太网的头部和尾部,目的mac地址是单播地址00:
e0:
4c:
73:
13:
72,以太网部被填充为16字节的全0.
2)观察aRp请求\应答分组内容,看看有何异同?
请求分组:
应答分组:
相同之处:
硬件类型为以太网,(0x0001),协议类型为ip(0x0800),硬件长度为6。
,协议地址长度为4.
不同之处为:
请求分组的操作类型为请求(0x0001),源mac地址为00:
e0:
4c:
73:
13:
72,源ip地址为10.22.5.56,目的地址mac未知,填充全为0,目的ip地址为10.22.5.47.应答分组的操作类型为应答(0x0002),源mac地址为00:
e0:
4c:
73:
13:
72,源ip地址为10.22.5.47,目的mac地址为00:
0e:
4c:
76:
e2:
5d,目的ip地址为10.22.5.56
(4)观察无偿aRp
1)观察无偿分组aRp的个数,试分析其原因?
初始化某个ip地址是,发送aRp的数量是3,因为这是系统默认值。
2)比较图2-33和图2-34的不同之处。
通过观察图2-33,可以发现pc2首先发现一个无偿aRp请求,企图初始化自己的ip地址为10.22.5.56,pc2收到该请求帧后回复给pc2相应的aRp应答,然后pc2广播一个无偿
aRp请求帧,目的是试网络上的其他计算机获得正确的aRp缓存,这个过程重复两次就可以确定网络上有重复的ip地址,pc2就无法初始化其tcp/ip协议栈。
图2-34中无偿aRp应答分组中源ip地址和目的ip地址相同,但是源mac地址和目的mac地址不同。
源节点收到无偿aRp请求分组就知道同一网段内有冲突ip地址设置,目的结点收到相应的aRp应答分组也可以知道ip地址冲突。
篇三:
局域网杀手aRp
aRp定义
aRp(addressResolutionprotocol,地址解析协议)是一个位于tcp/ip协议栈中的底层协议,负责将某个ip地址解析成对应的mac地址。
遭受aRp攻击后现象
aRp欺骗木马的中毒现象表现为:
使用局域网时会突然掉线,过一段时间后又会恢复正常。
比如客户端状态频频变红,用户频繁断网,ie浏览器频繁出错,以及一些常用软件出现故障等。
如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在ms-dos窗口下运行命令arp-d后,又可恢复上网。
aRp欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。
该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。
如盗取qq密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
aRp攻击原理
aRp攻击就是通过伪造ip地址和mac地址实现aRp欺骗,能够在网络中产生大量的aRp通信量使网络阻塞,攻击者只要持续不断的发出伪造的aRp响应包就能更改目标主机aRp缓存中的ip-mac条目,造成网络中断或中间人攻击。
aRp攻击主要是存在于局域网网络中,局域网中若有一个人感染aRp木马,则感染该aRp木马的系统将会试图通过“aRp欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
升级会员 