在ensp上的ARP及Proxy ARP
啥是ARP?啥又是Proxy ARP? ARP是用来将 IP 地址解析为 MAC 地址的协议。 ARP 表项可以分为动态和静态两种类型。动态 ARP ,是利用 ARP 广播报文,
动态执行并自动进行 IP 地址到以太网 MAC 地址的解析,无需网络管理员手工处理。静态 ARP 是建立 lP 地址和 MAC 地址之间固定的映射关系,
在主机和路由器上不能动态调整此映射关系,需要网络管理员手工添加。设备上有一个 ARP 高速缓存( ARP cache ) ,
用来存放 lP 地址到 MAC 地址的映射表,利用 ARP 请求和应答报文来缓存映射表,以便能正确地把三层数据包封装成二层数据帧,
达到快速封装数据帧、正确转发数据的目的。另外 ARP 还有扩展应用功能,比如 ProxyA 即功能。 Proxy ARP ,即代理 ARP ,
当主机上没有配置默认网关地址(即不知道如何到达本地网络的网关设备),可以发送一个广播 ARP 请求(请求目的主机的 MAC 地址),
使具备 Proxy ARP 功能的路由器收到这样的请求后,在确认请求地址可达后,会使用自身的 MAC 地址作为该 ARP 请求的回应,
使得处于不同物理网络的同一网段的主机之间可以正常通信。
接下来开始实验本实验模拟公司网络场景。路由器 R1 是公司的出口网关,连接到外网。公司内所有员工使用 10 . 1 . 0 . 0 / 16 网段, 通过交换机连接到网关路由器上。网络管理员通过配置静态 A 即防止 ARP 欺骗攻击,保证通信安全。 又由于公司内所有主机都没有配置网关,且分属于不同广播域,造成无法正常通信,网络管理员需要通过在路由器上配置 A 即代理功能,实现网络内所有主机的通信。
实验拓扑图
实验配置
接下来我们看一下主机的ARP表,目前这个表是空的
我们再来看一下路由器的表,表里装了刚才我们设置的两个网关端口
测试连通性,都测一下
刚开始,路由器的ARP表中并没有目标IP地址与目标MAC地址的对应表项,但当ping完之后就会有了,我们再查看一下路由表
下面我们模拟一下当发生ARP攻击时,我们该如何操作(ARP攻击是攻击者向网关发送错误的ARP报文导致正常的主机无法使用服务)
我们使用命令在路由器上静态添加一条关于PC1的错误的ARP映射。(模拟黑客攻击)
我们再看一下路由表已经变了
我们看看这个时候pc1还能不能ping通网关了(这个时候我们已经ping不通网关了)
因为ARP映射了错误的物理地址,我们来抓一下包,可以看到,当pc1发送ping请求时,回去的包,网关发送到了错误的地方
ARP攻击不仅会影响我们网关ARP表的正确性,还会感染其他路由的ARP表,那我们该如何应对这种攻击手段?
我们可以在路由器上设置静态ARP表,如果ip和一个MAC地址的静态映射已经出现在ARP表中,此时动态ARP方式雪莱的映射则无法进入ARP表中
删除掉错误的
绑定正确的
我们在测试一下连通性,连通性恢复正常
当然这种方法的优点是操作简单,但是它的缺点是必须使网络中的设备都在ARP表中,工作量太大,那我们该怎么办呢?
静态ARP不行,Proxy ARP(ARP代理)便出现了
还拿公司举例子,目前公司的网络被路由器R1分割成两个独立的广播域,每个路由器接口对应一个IP网络,分别使10.1.1.0/24和10.1.2.0/24
我们来查看一下R1的路由表
我们可以拿pc2pingpc3
ping不通,那我们抓个包来看一看,可以看到,pc2发的是广播包,可是广播包是过不了路由器的
但是我们如果给R1开启ARP代理呢?我们来开启ARP代理
我们再来用pc2ping一下pc3,抓一下包观察
我们看一下PC2中arp存的是谁的地址
但是这却与实际是不相符的,它存下的是网关10.1.1.254的mac地址
同时我发现pc2能ping通pc3,pc3却ping不通pc2
因为,开启ARP代理后,访问过程是这样的。R1接口收到pc2的ARP广播请求,R1根据目标IP地址查看自身路由表中是否有对应的网络,找到
对应的网络,所以R1直接把自身的GE0/0/1接口的mac地址返回给了PC2,PC2便使用接收到的MAC地址作为目标地址发送给R1,R1收到后再
转发给PC3,同理PC3要想也访问PC2,也需要在R1的GE0/0/2接口上开启ARP代理服务。
这个时候PC3已经能够ping通PC2了
记得save
在ensp上的ARP及Proxy ARP的更多相关文章
- ARP、Proxy ARP、Gratuitous ARP
Proxy ARP 什么是Proxy ARP? 一个主机A(通常是路由器)有意应答另一个主机B的ARP请求(ARP requests).主机A通过伪装其身份,承担起将分组路由到真实目的地的责任.代理A ...
- Proxy ARP
翻译自:https://ccieblog.co.uk/arp/proxy-arp Proxy ARP在一些路由器上是默认开启的.其思想是使两个不同子网上的主机,在没有配置默认网关的情况下,实现彼此通信 ...
- ensp上防火墙上配置nat
博文大纲:一.华为防火墙NAT的六个分类:二.解决NAT转换时的环路及无效ARP:三.server-map表的作用:四.NAT对报文的处理流程:五.各种常用NAT的配置方法: 一.华为防火墙NAT的六 ...
- Kali实现局域网ARP欺骗和ARP攻击
原文地址: http://netsecurity.51cto.com/art/201303/386031.htm http://xiao106347.blog.163.com/blog/static/ ...
- 中间人攻击之arp欺骗 科普ARP欺骗
中间人攻击之arp欺骗 科普ARP欺骗 A <-> B A中有个ARP Table,每次发包都会在此Table中查找,若找不到,发APR Request包询问.此时若hacker冒充B的M ...
- 【网络编程4】网络编程基础-ARP响应(ARP欺骗之中间人攻击)
arp欺骗->arp响应 ARP 缓存中毒(ARP欺骗) arp传送原理在于主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址:收到返回消 ...
- ARP协议具体解释之Gratuitous ARP(免费ARP)
ARP协议具体解释之Gratuitous ARP(免费ARP) Gratuitous ARP(免费ARP) Gratuitous ARP也称为免费ARP.无故ARP.Gratuitous ARP不同于 ...
- ARP协议详解之Gratuitous ARP(免费ARP)
ARP协议详解之Gratuitous ARP(免费ARP) Gratuitous ARP(免费ARP) Gratuitous ARP也称为免费ARP,无故ARP.Gratuitous ARP不同于一般 ...
- arp - Linux的ARP核心模块
描述 这个核心协议模块实现RFC826中定义的 Address Resolution Protocol [译注:即TCP/IP的第三层到第一层的地址转换协议],用于在直接相连的网络中换第二层硬件地址和 ...
随机推荐
- MySQL——查询优化|47s到0.1s|我做了什么
前言 这个代码是之前的同事写的,现在我接管了,但是今天早上我打开这个模块的时候发现数据加载异常的缓慢,等了将近一分钟左右数据才显示到页面. 这特么的绝对不正常啊,数据量压根没那么多呀,这特喵的什么情况 ...
- 基于麦克风阵列的声源定位算法之GCC-PHAT
目前基于麦克风阵列的声源定位方法大致可以分为三类:基于最大输出功率的可控波束形成技术.基于高分辨率谱图估计技术和基于声音时间差(time-delay estimation,TDE)的声源定位技术. 基 ...
- api的url规则设计,带参数的路由
api的url设计规则 router := gin.Default() router.GET("/topic/:topic_id", func(context *gin.Conte ...
- linux下递归删除目录下所有exe文件---从删库到跑路篇
linux下递归删除目录下所有exe文件 find . -name '*.exe' -type f -print -exec rm -rf {} \; (1) "." 表示从当前目 ...
- 如何防止CSRF攻击?
CSRF攻击 CSRF漏洞的发生 相比XSS,CSRF的名气似乎并不是那么大,很多人都认为CSRF“不那么有破坏性”.真的是这样吗? 接下来有请小明出场~~ 小明的悲惨遭遇 这一天,小明同学百无聊赖地 ...
- 【JZOJ6227】【20190621】ichi
题目 $n , m ,d,x\le 10^5 , $强制在线 题解 对原树做dfs,得到原树的dfs序 对kruksal重构树做dfs,得到重构树的dfs序 那么就是一个三维数点问题 强制在线并且卡空 ...
- 干货 | 10分钟带你彻底了解column generation(列生成)算法的原理附java代码
OUTLINE 前言 预备知识预警 什么是column generation 相关概念科普 Cutting Stock Problem CG求解Cutting Stock Problem 列生成代码 ...
- php保存canvas导出的base64图片
代码如下: <?php $img='data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAEYAAABxCAYAAABoUdWRAAAAAXNSR0IAr ...
- 东软HIS系统_打印发票提示“打印机报错!对访问XXX的设置无效”解决办法
发票打印报错 添加打印机,端口跟物理打印机同一个. 添加 MZJSFP,ZYJSFP,YJJFP三个打印机 打印发票错位 设置自定义纸张 MZJSFP 宽30.40CM 高12.94CM ZYJSFP ...
- 关于简单的 FluentValidation 验证
FluentValidation : https://github.com/JeremySkinner/FluentValidation 关于为何要使用,因为微软自带的模型验证有点弱,还需要自己去写 ...