ARP协议的概念和防火墙

网络 网络管理
ARP协议一直是我们网络管理中最为重要的一项。在诸多的,与之相关的攻击和欺骗以及一些网络问题上,我们总是会深入地进行研究。下面我们来介绍一下相关的概念和防火墙的问题。

ARP协议的相关问题,对于网络体系不清楚的朋友总会遇到不少而且不知道从何入手解决。例如网络常常掉线,频繁遭遇IP冲突。更有很多其他问题,例如担心通讯数据受到监控(如MSN、QQ、EMAIL)?你的网络速度是否受到网管软件限制(如聚生网管、P2P终结者)?你是否深受各种ARP协议攻击软件之苦(如网络执法官、网络剪刀手、局域网终结者)?以上各种问题的根源都是ARP欺骗(ARP攻击)。

在没有ARP欺骗之前,数据流向是这样的:网关<->本机。ARP欺骗之后,数据流向是这样的:网关<->攻击者(“网管")<->本机,本机与网关之间的所有通讯数据都将流经攻击者(“网管"),所以“任人宰割"就在所难免了。 ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,从而完美的解决上述所有问题。

【ARP协议防火墙九大功能】

1. 拦截ARP攻击。

(A) 在系统内核层拦截外部虚假ARP数据包,保障系统不受ARP欺骗、ARP攻击影响,保持网络畅通及通讯安全;

(B) 在系统内核层拦截本机对外的ARP攻击数据包,以减少感染恶意程序后对外攻击给用户带来的麻烦;

2. 拦截IP冲突。在系统内核层拦截IP冲突数据包,保障系统不受IP冲突攻击的影响;

3. Dos攻击抑制。在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP DoS攻击数据包,定位恶意发动DoS攻击的程序,从而保证网络的畅通;

4. 安全模式。除了网关外,不响应其它机器发送的ARP Request,达到隐身效果,减少受到ARP攻击的几率;

5. ARP数据分析。分析本机接收到的所有ARP数据包,掌握网络动态,找出潜在的攻击者或中毒的机器;

6. 监测ARP缓存。自动监测本机ARP缓存表,如发现网关MAC地址被恶意程序篡改,将报警并自动修复,以保持网络畅通及通讯安全;

7. 主动防御。主动与网关保持通讯,通告网关正确的MAC地址,以保持网络畅通及通讯安全;

8. 追踪攻击者。发现攻击行为后,自动快速锁定攻击者IP地址;

9. ARP病毒专杀。发现本机有对外攻击行为时,自动定位本机感染的恶意程序、病毒程序;#p#

【ARP协议工作原理简介】

ARP是Address Resolution Protocol(地址转换协议)的简称,是TCP IP协议中最底层的协议之一。它的作用是完成IP地址到MAC(物理地址)的转换。在局域网中两台计算机之间的通讯,或者局域网中的计算机将IP数据报转发给网关的时候,网卡都需要知道目标计算机的物理地址,以填充物理帧中的目的地址。

现在假设同一以太网中的计算机A(192.168.0.1)需要向计算机B(192.168.0.2)发送数据报,而此时A尚不知道B的物理地址。

为了获得B的物理地址,A在局域网上发送ARP广播,查询192.168.0.2这个物理地址,同时在ARP包中填入自己的物理地址Ma,相当于发出这样的询问“谁拿了192.168.0.2这个地址?请回Ma这个物理地址。"

计算机B在收到了这个查询以后,以Ma为目的地址发回一个ARP包,里面包含了自己的物理地址。这样通讯的双方都了解了对方的物理地址,通讯过程正式建立。 通常ARP协议都在支持广播的网络上使用,比方以太网,这种数据包不能跨物理网段使用,即不能跨越一个路由器(除路由器本身还用作ARP代理以外)。

在实际的ARP协议软件的实现中还有一些应该注意的事项:

每台计算机上都有一个ARP缓冲,它保存了一定数量的从IP地址到MAC地址的映射,同时当一个ARP广播到来时,虽然这个ARP广播可能与它无关,但ARP协议软件也会把其中的物理地址与IP地址的映射记录下来,这样做的好处是能够减少ARP报在局域网上发送的次数。

同时,ARP缓冲中IP地址与物理地址之间的映射并不是一但生成就永久有效,每一个ARP映射表项都有自己的时延,如果过了一定的时间还没有新的ARP到来,那么这个ARP映射就从缓冲中被删除了。那么下一次计算机向这个IP地址发送数据包的时候必须来一次新的查询。

本地网络IP 查找的原理 事实上Windows 本身就用ARP来确定自己的IP地址是否与网络上的另一台计算机发生了冲突。当一个ARP包到来时,Windows 如果检查到其中的IP地址与本机上的相同,而物理地址不同,这时Windows 就会向用户报告这个IP地址已经被别人占用。

非常有意思的是,Windows 对待IP地址是以先来后到的顺序分配,如果已经有人先占了,那么本机的网络接口就会被禁用。这也是非常恼人的“特色"因为一旦开机后有了第一次冲突,以后的任何网络操作就都无效了。

Windows XP 有了一定的进步,它在发现冲突以后并不禁用接口,而是允许用户进行修复。其实用sniffer可以看到所谓的“修复"也不过是发了几个ARP协议包出去,把IP“抢"回来。 在以前的文章中我描述了一个用ICMP 回送请求(类似PING)进行IP查找的程序。

这个程序用并发的几十个线程同时PING网络上的多台计算机,如果回送请求被正确的应答了,那么可以认为这个IP地址已经被占用,如果没有,我们就宣称它是空闲的。然而它有优点也有缺点,其优点是能够PING很远的计算机,即使不在同一个物理网段上,缺点是当目标计算机上安装了防火墙并禁止了ICMP包,或者采用了防ICMP flood 攻击的规则以后都有可能让ICMP回送请求得不到应答。

责任编辑:佟健 来源: IT168
相关推荐

2010-10-11 12:45:37

2010-11-26 09:25:28

2019-07-18 11:26:13

防火墙网络安全软件

2010-09-14 13:08:52

2009-09-24 13:53:53

2013-07-04 10:16:24

2009-11-09 08:59:54

2009-06-30 18:31:59

2011-03-04 09:30:56

PureFTPdTLS防火墙

2010-12-21 18:04:26

2010-12-08 09:29:27

下一代防火墙

2010-10-09 09:36:45

2010-09-17 10:07:28

2010-09-09 17:22:36

2012-11-08 11:02:54

2011-06-27 13:31:21

2010-05-24 17:49:56

2021-06-25 18:31:37

云防火墙

2010-04-16 22:09:28

2010-11-12 09:53:34

点赞
收藏

51CTO技术栈公众号