什么是地址解析协议 (ARP)?
地址解析协议 (ARP) 是在局域网 (LAN) 中将不断变化的 Internet 协议 (IP) 地址连接到固定的物理机器地址(也称为媒体访问控制 (MAC) 地址)的协议或过程)。
此映射过程很重要,因为 IP 和 MAC 地址的长度不同,并且需要进行转换以便系统能够相互识别。当今最常用的 IP 是 IP 版本 4 (IPv4)。IP 地址的长度为 32 位。但是,MAC 地址的长度为 48 位。ARP 将 32 位地址转换为 48 位地址,反之亦然。
有一种称为 Open Systems Interconnection (OSI) 模型的网络模型。OSI 模型于 1970 年代后期首次开发,它使用层为 IT 团队提供特定网络系统正在发生的情况的可视化。这有助于确定哪个层影响安装在网络上的哪个应用程序、设备或软件,以及哪个 IT 或工程专业人员负责管理该层。
MAC 地址也称为数据链路层,它在两个物理连接的设备之间建立和终止连接,以便进行数据传输。IP地址也称为网络层或负责通过不同路由器转发数据包的层。ARP 在这些层之间工作。
ARP 做什么以及它是如何工作的?
当新计算机加入局域网 (LAN) 时,它将收到一个唯一的 IP 地址,用于识别和通信。
数据包到达一个网关,目的地是特定的主机。网关或网络上允许数据从一个网络流向另一个网络的硬件要求 ARP 程序找到与 IP 地址匹配的 MAC 地址。ARP 缓存保存每个 IP 地址及其匹配 MAC 地址的列表。ARP 缓存是动态的,但网络上的用户也可以配置包含 IP 地址和 MAC 地址的静态ARP 表。
ARP 缓存保存在 IPv4以太网中的所有操作系统上。每次设备请求 MAC 地址以向连接到 LAN 的另一台设备发送数据时,该设备都会验证其 ARP 缓存以查看 IP 到 MAC 地址的连接是否已经完成。如果存在,则不需要新的请求。但是,如果尚未执行转换,则发送网络地址请求,并执行 ARP。
ARP 缓存大小受设计限制,地址往往仅在缓存中停留几分钟。它会定期清除以释放空间。此设计还旨在保护隐私和安全,以防止 IP 地址被网络攻击者窃取或欺骗。虽然 MAC 地址是固定的,但 IP 地址会不断更新。
在清除过程中,未使用的地址被删除;与未连接到网络或什至未打开电源的计算机进行通信的尝试失败相关的任何数据也是如此。
地址解析协议与DHCP、DNS有什么关系?它们有何不同?
ARP 是将动态 IP 地址连接到物理机的 MAC 地址的过程。因此,了解一些与 IP 相关的技术非常重要。
如前所述,IP 地址在设计上会不断更改,原因很简单,因为这样做可以为用户提供安全和隐私。但是,IP 地址的更改不应该是完全随机的。应该有从特定网络中可用的已定义数字范围分配 IP 地址的规则。这有助于防止出现问题,例如两台计算机接收相同的 IP 地址。这些规则称为 DHCP 或动态主机配置协议。
IP 地址作为计算机的身份很重要,因为它们是执行 Internet 搜索所必需的。当用户搜索域名或统一资源定位器 (URL) 时,他们使用字母名称。另一方面,计算机使用数字 IP 地址将域名与服务器相关联。为了将两者连接起来,使用域名系统 (DNS) 服务器将 IP 地址从令人困惑的数字字符串转换为更易读、更易于理解的域名,反之亦然。
ARP的类型有哪些?
ARP 有不同的版本和用例。让我们来看看几个。
代理 ARP
代理 ARP 是一种技术,通过该技术,给定网络上的代理设备可以回答对不在该网络上的 IP 地址的 ARP 请求。代理知道流量目的地的位置,并提供自己的 MAC 地址作为目的地。
免费ARP
免费 ARP 几乎就像一个管理程序,作为网络上的主机简单地宣布或更新其 IP-to-MAC 地址的一种方式。将 IP 地址转换为 MAC 地址的 ARP 请求不会提示免费 ARP。
反向 ARP (RARP)
不知道自己 IP 地址的主机可以使用反向地址解析协议 (RARP) 进行发现。
反向 ARP (IARP)
ARP 使用 IP 地址来查找 MAC 地址,而 IARP 使用 MAC 地址来查找 IP 地址。
网络中的 ARP 有什么用?
ARP 是必要的,因为需要将连接到网络的主机或计算机的软件地址(IP 地址)转换为硬件地址(MAC 地址)。如果没有 ARP,主机将无法计算出另一台主机的硬件地址。LAN 保留一个表或目录,将 IP 地址映射到不同设备的 MAC 地址,包括该网络上的端点和路由器。
此表或目录不由用户维护,甚至不由 IT 管理员维护。相反,ARP 协议会即时创建条目。如果用户的设备不知道目标主机的硬件地址,该设备将向网络上的每个主机发送一条消息,询问该地址。当正确的目标主机获知该请求时,它将返回其硬件地址,然后将其存储在 ARP 目录或表中。
如果不支持 ARP,可以手动输入此目录。
什么是 ARP 欺骗/ARP 中毒攻击?
ARP 欺骗也称为 ARP 中毒路由或 ARP 缓存中毒。这是一种恶意攻击,其中网络犯罪分子向目标 LAN 发送虚假 ARP 消息,目的是将其 MAC 地址与网络中合法设备或服务器的 IP 地址链接起来。该链接允许将来自受害者计算机的数据发送到攻击者的计算机,而不是原始目的地。
ARP 欺骗攻击可能很危险,因为敏感信息可以在受害者不知情的情况下在计算机之间传递。ARP 欺骗还支持其他形式的网络攻击,包括:
中间人 (MTM) 攻击
中间人 (MITM) 攻击是一种窃听类型,其中网络攻击者拦截、中继和更改两方之间的消息——他们不知道涉及第三方——以窃取信息。攻击者可能试图控制和操纵一方或双方的消息,以获取敏感信息。因为这些类型的攻击使用复杂的软件来模仿对话的风格和语气——包括那些基于文本和语音的——MITM 攻击很难拦截和阻止。
当恶意软件被分发并控制受害者的网络浏览器时,就会发生 MITM 攻击。浏览器本身对攻击者来说并不重要,但受害者共享的数据非常多,因为它可以包括用户名、密码、帐号以及在聊天和在线讨论中共享的其他敏感信息。
一旦他们获得控制权,攻击者就会在受害者和合法站点之间创建一个代理,通常使用假冒的相似站点,以拦截受害者和合法站点之间的任何数据。攻击者通过网上银行和电子商务网站来获取个人信息和财务数据。
拒绝服务攻击
拒绝服务 (DoS) 攻击是一种网络攻击者试图用流量淹没系统、服务器和网络以阻止用户访问它们的攻击。更大规模的 DoS 攻击被称为分布式拒绝服务 (DDoS) 攻击,在这种攻击中,大量的源被用于使系统充满流量。
这些类型的攻击利用网络协议中的已知漏洞。当大量数据包传输到易受攻击的网络时,服务很容易变得不堪重负,然后不可用。
会话劫持
当网络攻击者窃取用户的会话 ID、接管该用户的 Web 会话并伪装成该用户时,就会发生会话劫持。拥有会话 ID 后,攻击者可以执行用户有权在该网络上执行的任何任务或活动。
当用户尝试访问系统或登录受限制的网站或 Web 服务时,就会发生身份验证。会话 ID 存储在浏览器中的 cookie 中,从事会话劫持的攻击者会拦截认证过程并实时入侵。