原理:
ARP (Address Resolution Protocol)是用來將IP地址解析為MAC地址的協議。ARP表項可以分為動態和靜態兩種類型。動態ARP是利用ARP廣播報文,動態執行並自動進行IP地址到以太網MAC地址的解析,無需網絡管理員手工處理。靜態ARP是建立IP地址和MAC地址之間固定的映射關系,在主機和路由器上不能動態調整此映射關系,需要網絡管理員手工添加。設備上有一個ARP高速緩存(ARP cache),用來存放IP地址到MAC地址的映射表,利用ARP請求和應答報文來緩存映射表,以便能正確地把三層數據包封裝成二層數據幀,達到快速封裝數據幀、正確轉發數據的目的。另外ARP還有擴展應用功能,比如Proxy ARP功能。Proxy ARP,即代理ARP,當主機上沒有配置默認網關地址(即不知道如何到達本地網絡的網關設備),可以發送一個廣播ARP請求(請求目的主機的MAC地址),使具備Proxy ARP功能的路由器收到這樣的請求后,在確認請求地址可達后,會使用自身的MAC地址作為該ARP請求的回應,使得處於不同物理網絡的同一網段的主機之間可以正常通信。
例子:
本實驗模擬公司網絡場景。路由器R1是公司的出口網關,連接到外網。公司內所有員工使用10.1.0.0/16網段,通過交換機連接到網關路由器上。網絡管理員通過配置靜態ARP防止ARP欺騙攻擊,保證通信安全。又由於公司內所有主機都沒有配置網關,且分屬於不同廣播域,造成無法正常通信,網絡管理員需要通過在路由器上配置ARP代理功能,實現網絡內所有主機的通信。
拓撲圖:
編址:
1.基本配置
按照編址配置基本IP地址配置
我們查看一下主機的ARP表,目前這個表是空的
根據實驗編址配置路由器R1的接口IP地址,掩碼長度為24
配置完后,看一下R1的ARP表,我們發現表里裝了剛才我們設置的兩個網關端口
自己試着把R1與PC機ping通,ping不通不能進行下面環節
ping通后,路由器的ARP表中就有了目標IP地址與目標MAC地址的對應表項
2.配置靜態ARP
上述ARP協議的工作行為往往被攻擊者利用。如果攻擊者發送偽造的ARP報文,而且報文里面所通告的IP地址和MAC地址的映射是錯誤的,則主機或網關會把錯誤的映射更新到ARP表中。當主機要發送數據到指定的目標IP地址時,從ARP表里得到了不正確的硬件MAC地址,並用之封裝數據幀,導致數據幀無法正確發送。由於公司內主機感染了這種ARP病毒,所以主機對網關R1進行ARP攻擊,向網關R1通告含錯誤映射的ARP通告,導致網關路由器上使用不正確的動態ARP映射條目,造成其他主機無法與網關正常通信。
接下來我們使用命令在路由器上靜態添加一條關於PC1的錯誤的ARP映射。(模擬黑客攻擊)
再看一下,路由表已經變了
我們再用PC1ping一下網關,發現不行了,相互ping不通了
因為ARP映射了錯誤的物理地址,我們來抓一下包,可以看到,當pc1發送ping請求時,回去的包,網關發送到了錯誤的地方
應對ARP欺騙攻擊,防止其感染路由器的ARP表,可以通過配置靜態ARP表項來實現。如果IP地址和一一個MAC地址的靜態映射已經出現在ARP表中,則通過動態ARP方式學來的映射則無法進入ARP表。所以針對公司網絡的現狀,網絡管理員在R1上手工配置三條關於PC-1、PC-2和PC-3的正確ARP映射。使用arp static命令,配置如下。
刪除錯誤的:
綁定正確的:
然后我們測試一下。這樣就好了
當然這種方法的優點是操作簡單,但是它的缺點是必須使網絡中的設備都在ARP表中,工作量太大,那我們該怎么辦呢?
靜態ARP不行,Proxy ARP便出現了
3.配置Proxy ARP
目前公司的網絡被路由器R1分割為兩個獨立的廣^播域,每個路由器接口對應-一個IP網絡,分別是10.1.1.0/24 和10.1.2.0/24,查看R1的路由表。
默認情況下,路由器上的ARP代理功能是關閉的。
用PC2ping 10.1.2.3時候不通
所以我們給R1開啟ARP代理
開啟ARP代理后,PC-2 訪問PC-3的工作過程如下。
R1的接口GE 0/0/1開啟了ARP代理后,收到PC-2的ARP廣播請求報文后,R1根據ARP請求中的目標IP地址10.1.2.3 查看自身的路由表中是否有對應的目標網絡,R1的GE0/0/2接口就是10.1.2.0/24網絡,所以,R1直接把自身的GE0/0/1接口的MAC地址通過ARP響應返回給PC-2, PC-2接收到此ARP響應后使用該MAC作為目標硬件地址發送報文給R1, R1收到后再把報文轉發給PC-3。同理,PC-3 要能訪問R1連接的其他廣播域的PC,也需要在R1的GE 0/0/2接口上開啟ARP代理功能。
配置完后,我們測試一下,這樣我們就可以ping通了
