协议圣经 ARP RARP 六

Posted 2021-09-07 qianbo_insist

1、ARP协议

地址解析协议(Address Resolution Protocol)，其基本功能为透过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。它是IPv4中网络层必不可少的协议，不过在IPv6中不适用，并被邻居发现协议(NDP)所替代。如果我们需要知道在网内的所有机器的MAC和IP地址对应，应该怎么做？使用arp 命令

1.1 linux 下面

$ sudo apt install net-tools
$ arp -e
Address HWtype HWaddress Flags Mask Iface
MS-BXGVPAQUGSSC.lan ether 00:e0:1c:68:02:04 C ens33
192.168.1.114 (incomplete) ens33
phicomm.me ether cc:81:da:02:ed:f1 C ens33

linux下arp -e 使用linux style 打印出 ip地址和mac地址的对应

1.2 windows 下

arp -a
C:\\Users\\Administrator>arp -a

接口: 192.168.1.144 — 0x5
Internet 地址 物理地址 类型
192.168.1.1 cc-81-da-02-ed-f1 动态
192.168.1.189 00-0c-29-f2-c7-2a 动态
192.168.1.255 ff-ff-ff-ff-ff-ff 静态
224.0.0.22 01-00-5e-00-00-16 静态
224.0.0.251 01-00-5e-00-00-fb 静态
224.0.0.252 01-00-5e-00-00-fc 静态
239.255.255.250 01-00-5e-7f-ff-fa 静态
255.255.255.255 ff-ff-ff-ff-ff-ff 静态

1.3 防止arp 欺骗

arp -s 157.55.85.212 00-aa-00-62-c6-09…
使用arp -s 命令来绑定 ip地址和mac地址，比如绑定网关的ip地址和mac地址，这样，模拟网关来进行udp 欺骗就很难进行了。

1.4删除

arp -d
使用arp -d 命令删除 对应的ip 和 mac 对应

2、RARP协议

反向地址解析协议
发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址；
本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址；
如果存在， RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；
如果不存在，RARP服务器对此不做任何的响应；
源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。

注意：RARP服务器的功能就由用户进程来提供，而不是作为内核的TCP/IP实现的一部分，因此，大部分情况下，不需要使用该协议

3、帧类型标记

ARP在以太网帧中的协议类型为0x0806，RARP在以太网帧中的协议类型为0x8035；

4 arp攻击解决

受到arp攻击后，网络已经断了，查看此对照表发现，网关的Mac地址有可能改变。
(1)先输入 arp -a
可以看到所有网关的列表，但是正常情况下，应该只有一个网关，多出来的，肯定是arp攻击发起者的电脑伪装的网关。

(2) 删除命令arp -d.
清除所有网关，computer 会重新找网关。

(3) 继续arp -a
列出新找的网关，如果仍有多个，再继续arp -d。直到arp -a只出现一条记录，或者我们知道网关的mac，直接帮i的那个就好

(4) arp -s 命令重新绑定
其他对应继续使用arp -s 命令
arp -s xxx.xxx.xxx.xxx ab-cd-ef-gh-ij-kl