3. ARP协议
3.1 ARP(Address Resolution Protocol)协议的工作过程和安全隐患
(1)计算机A和C通信之前,先检查ARP缓存中是否有计算机C的IP地址对应的MAC地址。如果没有,就启用ARP协议发送一个ARP广播请求解析192.168.0.4的MAC地址。ARP广播帧目标MAC地址是FF-FF-FF-FF-FF-FF。
(2)交换机将ARP广播帧转发到同一个网络的全部端口。这意味着同一个网段中的计算机都能够接到该ARP请求。
(3)正常情况下,只有计算机C收到该ARP请求后发送ARP应答消息。还有不正常情况,网络中任何一台计算机都可以发送ARP应答,有可能告诉计算机A一个错误的MAC地址(ARP欺骗)
(4)计算机A将解析到的结果保存在ARP缓存中(可通过arp -a命令查看),并保留一段时间,后续通信就使用缓存的结果,就不再发送ARP请求解析MAC地址。
3.2 ARP欺骗之“网络执法官”
(1)“网络执法官”局域网管理辅助软件
可以通过周期性地解析本网段IP地址和MAC地址来统计哪些计算机在线和下线,它能够利用ARP欺骗来禁止与“关键主机”的通信或禁止与网络中所有计算机通信,并指定哪些地址是“关键主机”。
(2)“网络执法官”测试:禁止局域网内的某台计算机访问Internet
①选择“监控范围”(如192,168.80.1-192.168.80.254)并添加。这时软件会发送ARP请求给这个范围的每一个地址,通过统计收到的ARP响应,来发现网段有多少计算机在线。
②设置“关键主机”:“设置”菜单→“关键主机”→指定IP并添加。这里可以指定网关地址。
③限制计算机A与关键主机(D)通信:选中计算机A→右键“设定权限”→选择“发现该用户与网络连接即进行管理” →并选择“禁止与关键主机的TCP/IP连接”。如此,该计算机就不能与网关通信,即不能访问Internet。可以通过arp –a 命令查看到,该计算机A解析到网关的mac地址是一个错误的地址。
3.3 判断和防止ARP欺骗的方法
(1)故障现象:计算机不能和同一网段的某个计算机通信,但和其他计算机通信正常。如果不是双方防火墙设置引起,就很可能是ARP欺骗引起的网络故障。
(2)原因分析:如前面计算机A不能ping通网关,在排除了防火墙设置导致后,可以通过arp –a查看缓存的mac地址表中网关地址是否正确。如果不一致,就是ARP欺骗造成的网络故障了。
(3)解决方案:为计算机A添加MAC地址静态映射
①arp -s 192.168.80.2 00-50-56-FD-90-E2 (网关IP和mac地址)。
②由于A和网关通信不再需要ARP协议来解析对方的MAC地址,“网络执行官”就不能通过ARP执行欺骗,网络就会通。
③说明:删除映射arp -d 192.168.80.2
3.4 扩展思考
(1)计算机A和B能否互通?
①A和B连接在同一交换机上。但所处网段不同。
②A和B互设对方为自己的网关(否则是不通。注意,这与第5章的5.2节案例是不同的!)
(2)互通的原因
①当计算机A ping 计算机B时,由于IP不在同一网段。尽管连接在同一交换机,但仍需要网关来转发。因此A就发送ARP请求(广播)网关B的MAC地址。由于同一交换机,这个广播会被转发到交换机的各个接口上,因此B会收到这个请回,如此A就能解释出B的MAC地址。因此A能ping通B。
②同理,B也能ping通A。