啥是ARP?啥又是Proxy ARP?

ARP是用来将 IP 地址解析为 MAC 地址的协议。 ARP 表项可以分为动态和静态两种类型。动态 ARP ,是利用 ARP 广播报文,
动态执行并自动进行 IP 地址到以太网 MAC 地址的解析,无需网络管理员手工处理。静态 ARP 是建立 lP 地址和 MAC 地址之间固定的映射关系,
在主机和路由器上不能动态调整此映射关系,需要网络管理员手工添加。设备上有一个 ARP 高速缓存( ARP cache ) ,
用来存放 lP 地址到 MAC 地址的映射表,利用 ARP 请求和应答报文来缓存映射表,以便能正确地把三层数据包封装成二层数据帧,
达到快速封装数据帧、正确转发数据的目的。另外 ARP 还有扩展应用功能,比如 ProxyA 即功能。 Proxy ARP ,即代理 ARP ,
当主机上没有配置默认网关地址(即不知道如何到达本地网络的网关设备),可以发送一个广播 ARP 请求(请求目的主机的 MAC 地址),
使具备 Proxy ARP 功能的路由器收到这样的请求后,在确认请求地址可达后,会使用自身的 MAC 地址作为该 ARP 请求的回应,
使得处于不同物理网络的同一网段的主机之间可以正常通信。

接下来开始实验本实验模拟公司网络场景。路由器 R1 是公司的出口网关,连接到外网。公司内所有员工使用 10 . 1 . 0 . 0 / 16 网段, 通过交换机连接到网关路由器上。网络管理员通过配置静态 A 即防止 ARP 欺骗攻击,保证通信安全。 又由于公司内所有主机都没有配置网关,且分属于不同广播域,造成无法正常通信,网络管理员需要通过在路由器上配置 A 即代理功能,实现网络内所有主机的通信。

实验拓扑图

实验配置

接下来我们看一下主机的ARP表,目前这个表是空的

我们再来看一下路由器的表,表里装了刚才我们设置的两个网关端口

测试连通性,都测一下

刚开始,路由器的ARP表中并没有目标IP地址与目标MAC地址的对应表项,但当ping完之后就会有了,我们再查看一下路由表

下面我们模拟一下当发生ARP攻击时,我们该如何操作(ARP攻击是攻击者向网关发送错误的ARP报文导致正常的主机无法使用服务)

我们使用命令在路由器上静态添加一条关于PC1的错误的ARP映射。(模拟黑客攻击)

我们再看一下路由表已经变了

我们看看这个时候pc1还能不能ping通网关了(这个时候我们已经ping不通网关了)

因为ARP映射了错误的物理地址,我们来抓一下包,可以看到,当pc1发送ping请求时,回去的包,网关发送到了错误的地方

ARP攻击不仅会影响我们网关ARP表的正确性,还会感染其他路由的ARP表,那我们该如何应对这种攻击手段?

我们可以在路由器上设置静态ARP表,如果ip和一个MAC地址的静态映射已经出现在ARP表中,此时动态ARP方式雪莱的映射则无法进入ARP表中

删除掉错误的

绑定正确的

我们在测试一下连通性,连通性恢复正常

当然这种方法的优点是操作简单,但是它的缺点是必须使网络中的设备都在ARP表中,工作量太大,那我们该怎么办呢?

静态ARP不行,Proxy ARP(ARP代理)便出现了

还拿公司举例子,目前公司的网络被路由器R1分割成两个独立的广播域,每个路由器接口对应一个IP网络,分别使10.1.1.0/24和10.1.2.0/24

我们来查看一下R1的路由表

我们可以拿pc2pingpc3

ping不通,那我们抓个包来看一看,可以看到,pc2发的是广播包,可是广播包是过不了路由器的

但是我们如果给R1开启ARP代理呢?我们来开启ARP代理

我们再来用pc2ping一下pc3,抓一下包观察

我们看一下PC2中arp存的是谁的地址

但是这却与实际是不相符的,它存下的是网关10.1.1.254的mac地址

同时我发现pc2能ping通pc3,pc3却ping不通pc2

因为,开启ARP代理后,访问过程是这样的。R1接口收到pc2的ARP广播请求,R1根据目标IP地址查看自身路由表中是否有对应的网络,找到

对应的网络,所以R1直接把自身的GE0/0/1接口的mac地址返回给了PC2,PC2便使用接收到的MAC地址作为目标地址发送给R1,R1收到后再

转发给PC3,同理PC3要想也访问PC2,也需要在R1的GE0/0/2接口上开启ARP代理服务。

这个时候PC3已经能够ping通PC2了

记得save

在ensp上的ARP及Proxy ARP的更多相关文章

  1. ARP、Proxy ARP、Gratuitous ARP

    Proxy ARP 什么是Proxy ARP? 一个主机A(通常是路由器)有意应答另一个主机B的ARP请求(ARP requests).主机A通过伪装其身份,承担起将分组路由到真实目的地的责任.代理A ...

  2. Proxy ARP

    翻译自:https://ccieblog.co.uk/arp/proxy-arp Proxy ARP在一些路由器上是默认开启的.其思想是使两个不同子网上的主机,在没有配置默认网关的情况下,实现彼此通信 ...

  3. ensp上防火墙上配置nat

    博文大纲:一.华为防火墙NAT的六个分类:二.解决NAT转换时的环路及无效ARP:三.server-map表的作用:四.NAT对报文的处理流程:五.各种常用NAT的配置方法: 一.华为防火墙NAT的六 ...

  4. Kali实现局域网ARP欺骗和ARP攻击

    原文地址: http://netsecurity.51cto.com/art/201303/386031.htm http://xiao106347.blog.163.com/blog/static/ ...

  5. 中间人攻击之arp欺骗 科普ARP欺骗

    中间人攻击之arp欺骗 科普ARP欺骗 A <-> B A中有个ARP Table,每次发包都会在此Table中查找,若找不到,发APR Request包询问.此时若hacker冒充B的M ...

  6. 【网络编程4】网络编程基础-ARP响应(ARP欺骗之中间人攻击)

    arp欺骗->arp响应 ARP 缓存中毒(ARP欺骗) arp传送原理在于主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址:收到返回消 ...

  7. ARP协议具体解释之Gratuitous ARP(免费ARP)

    ARP协议具体解释之Gratuitous ARP(免费ARP) Gratuitous ARP(免费ARP) Gratuitous ARP也称为免费ARP.无故ARP.Gratuitous ARP不同于 ...

  8. ARP协议详解之Gratuitous ARP(免费ARP)

    ARP协议详解之Gratuitous ARP(免费ARP) Gratuitous ARP(免费ARP) Gratuitous ARP也称为免费ARP,无故ARP.Gratuitous ARP不同于一般 ...

  9. arp - Linux的ARP核心模块

    描述 这个核心协议模块实现RFC826中定义的 Address Resolution Protocol [译注:即TCP/IP的第三层到第一层的地址转换协议],用于在直接相连的网络中换第二层硬件地址和 ...

随机推荐

  1. 与你一起学习MS Project——基础篇:Project基础应用

    为了更清晰容易地熟悉掌握Project的基础应用,我们在基础篇中一起来学习掌握在Project中如何做进度计划.资源计划.成本计划以及跟踪项目的执行情况并生成所需的项目报表. 一.进度计划 这里,首先 ...

  2. 安装tomacat之后出现需要授权窗口

    安装tomacat之后登录网页,出现需要授权窗口,输入正确密码后依然会循环弹出该窗口. 原因: 因为tomcat的端口与oracle的端口重复了. 解决: 进入任务管理器,然后将oracle运行的程序 ...

  3. webpack的loader的原理和实现

    想要实现一个loader,需要首先了解loader的基本原理和用法. 1. 使用 loader是处理模块的解析器. module: { rules: [ { test: /\.css$/, use: ...

  4. asp.net web开发——文件的上传和下载

    HTML部分 <%@ Page Language="C#" AutoEventWireup="true" CodeBehind="index.a ...

  5. PowerDesigner 画流程图

    原因: 以前赶时间写了n长一个类,现在又增加新需求了,but以前怎么写的忘了,虽然注释都有,一个一个方法的看很累,准备把它用面向对象改造一下,不知道时间够不,先试一试在说.之前设计数据库用的Power ...

  6. 洛谷 P2947 [USACO09MAR]向右看齐Look Up

    目录 题目 思路 \(Code\) 题目 戳 思路 单调栈裸题 \(Code\) #include<stack> #include<cstdio> #include<st ...

  7. 博客之旅的开始-----什么是Python ? ? ?

    1 .到底什么是Python?你可以在回答中与其他技术进行对比(也鼓励这样做). 答案下面是一些关键点: Python是一种解释型语言.这就是说,与C语言和C的衍生语言不同,Python代码在运行之前 ...

  8. hhhhh我又双叒进步啦!

    虽然说从今天开始短暂的暑假一周假期正式开始,然而第一天我就深感在家有多无聊...所以说还是整天待在学校好丫! 不过,就算在家, 勤奋好学的 我也要认真做题!今天就一鼓作气地把排名刷到了第 50 名!! ...

  9. Java串口通信--------基于RXTX (附带资源地址)

    最近帮老师做了一个小项目,一个牧场公司想用传感器收集一些环境信息,记录到数据库里去,然后加以分析查看.这里面和传感器通信用到了串口通信,我也是接触了一下,把用到的东西分享出来. 准备工作: RXTX: ...

  10. (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)

    试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...