网络协议：第3讲-ARP和RARP

第三讲ARP和RARP课程组：刘悦、孙润元、荆山回顾IEEE802.3和EthernetII具有相同的数据报文格式。（）两台主机间的双向路径MTU是一个常数。（）下列哪些协议属于链路层协议？A、PPPB、EthernetIIC、SLIPD、IEEE802.2/802.3 PPP协议与SLIP协议比较，具有的优点为：A、PPP支持在单根串行线路上运行多种协议B、每一帧都有循环冗余检验C、通信双方可以进行IP地址的动态协商D、当链路要发送几帧数据时，PPP实现更简单×√√√√√√√×第三讲ARP和RARP引言ARPARP高速缓存代理ARP免费ARPRARPARP病毒及防护本章小结3.1引言在网络层上，主机和路由器用网络地址来标志，可路由的网络地址在互联网全局上是唯一的。在TCP/IP协议族中称为IP地址，长度是32位，IP地址又称为逻辑地址。在因特网中，最终数据还是要在物理网络上传输，因此需要使用物理地址。在以太网中，主机和路由器使用48bitMAC地址来标识他们的物理地址。物理地址是本地地址，在本地范围内是唯一的，但是在全局上不一定，它通常用硬件实现。因此需要能够将网络地址和相应的物理地址之间进行映射。完成这样的映射方式通常有两种：静态映射和动态映射。3.1引言建立逻辑地址和物理地址的方法静态映射：创建一个表，存储逻辑地址和物理地址的关联关系。需要将网络上的每个主机都存储这个表。缺点：映射表必须周期的更新，增加了网络的开销。动态映射：是在需要获得地址映射关系时利用网络通信协议直接从其他主机获得映射信息。因特网采用了动态映射的方法进行地址映射。3.1引言地址解析在因特网中，逻辑地址和物理地址之间的映射称为地址解析，包括两个 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 ：地址解析协议ARP逆地址解析协议RARPARP48bitMAC地址32bitIP地址RARP第三讲ARP和RARP引言ARPARP高速缓存代理ARP免费ARPRARPARP病毒及防护本章小结3.2ARPARP（AddressResolutionProtocol）地址解析协议负责完成逻辑地址向物理地址的动态映射，将32位逻辑地址（IP地址）转化为48位物理地址（MAC地址）。RFC826：AnEthernetAddressResolutionProtocol--or--ConvertingNetworkProtocolAddressesto48.bitEthernetAddressforTransmissiononEthernetHardware(1982)ICMPIGMPRARPARPIPARP和RARP在TCP/IP协议族中的位置网络层3.2ARPARP概述ARP通过一个查找表（ARP缓存）来执行这种转换。当在ARP缓存中没有找到地址时，则向网络发送一个广播请求。网络上的所有主机和路由器都接收和处理这个ARP请求，但是只有是广播被请求IP地址的主机或路由器，发回一个ARP应答分组。应答中包含它的IP地址和物理地址，并保存在请求主机的ARP缓存中。其它主机或路由器都丢弃此分组。ARP的功能总结为两部分:发送请求，获得目的的主机的物理地址；向请求物理地址的主机发送解析结果。3.2ARPARP的操作示意图问题：ARP应答报文采用什么方式发送？1.广播2.单播3.多播3.2ARP可以使用ARP服务的4种不同情况LAN目标IP地址：在IP数据报中的目的地址情况1：主机有分组要发送给在同一个网络上的另一个主机主机发送端主机接收端LAN目标IP地址：IP数据报中的目的地址情况4：路由器收到要发送给同一个网络上的主机的分组路由器发送端主机接收端LAN/WAN目标IP地址：在路由表中找到的适当的路由器IP地址情况3：路由器收到要发送给另一个网络上的主机的分组。这个分组必须先交付给适当的路由器路由器发送端路由器接收端LAN目标IP地址：某路由器的IP地址情况2：主机要把分组发送给在另一个网络上的另一个主机，这个分组必须先交付给默认路由器主机发送端路由器接收端3.2ARP例子：当输入命令ftpcai.ujn.edu.cn时，执行如下：1.应用程序FTP客户端把主机名转换成32bit的IP地址。这个转换过程使用DNS。4.若目的主机在本地网络上，则IP数据报直接送到目的主机。若目的主机在远程网络上，则发到本地路由器，再转发IP数据报。2.FTP客户请求TCP用得到的IP地址建立连接3.TCP发送一个连接请求分组到远端主机，即用上述IP地址发送IP数据报5.设下层是以太网，则发送端把32bitIP地址变换成48bit以太网地址，即ARP功能目的主机收到广播报文后，知道是发送端在询问它的IP地址，发送ARP应答，包含他自己的IP地址及硬件地址。6.ARP广播请求的以太网数据帧，如图中虚线所示。ARP请求帧中包含目的主机IP地址，含义是“谁是这个IP地址的拥有者，请告诉我你的硬件地址。”8.收到ARP应答后，使ARP进行请求—应答交换的IP数据报现在就可以传送了。9.发送IP数据报到目的主机3.2ARPARP分组格式硬件类型：16bit，定义网络类型。以太网是类型1，取值0x0001。协议类型：16bit，定义协议类型。对应IPv4协议，值为0x0800。硬件长度：8bit，定义以字节为单位的物理（硬件）地址长度，即n的值。以太网是6。协议长度：8bit，定义以字节为单位的逻辑（协议）地址长度，即m的值。IPv4的值为4。操作码：16bit，定义分组的类型。ARP请求为0x0001，ARP应答为0x0002。RARP请求为0x0003，RARP应答为0x0004。3.2ARPARP分组格式发送方硬件地址、发送方协议地址、目的硬件地址和目的协议地址:它们是可变长度字段。源和目的硬件地址对应以太网都是48位地址。源和目的协议地址对应IPv4协议是32位地址。思考：各字段的填充值是什么？对于一个ARP请求来说，除目的硬件地址外的所有其他字段都有填充值。当系统收到一份目的为本机的ARP请求报文后，它就把硬件地址填进去，然后用两个发送端地址分别替换两个目的地址，并把操作字段置为2，最后把它发送回去。问题：对于ARP请求报文，目的硬件地址填充什么值？3.2ARPARP封装ARP/RARP分组直接封装在链路帧中3.2ARPARP封装例如：IP地址为130.23.43.20主机，分组发送给130.23.43.25的主机，右图列出了封装在以太网帧中的ARP请求和应答分组。这里有一些重复信息：在以太网帧报头中和ARP请求报文中都有发送端硬件地址。第三讲ARP和RARP引言ARPARP高速缓存代理ARP免费ARPRARPARP病毒及防护本章小结3.3ARP高速缓存ARP封装问题：发送端往往有多个IP数据报发送到同一个目的端。如果对发送到同一个主机或路由器的每一个数据报都使用ARP，势必会带来较大的开销。广播ARP请求不仅要耗费带宽，而且使得本地网络中的每台主机都要处理该广播帧，或忽略或给出响应帧。。可以使用ARP高速缓存表解决这个问题。每个主机或路由器上都有一个ARP高速缓存表。这个高速缓存表存放最近Internet地址到硬件地址之间的映射记录。高速缓存表中每一项的生存时间有限，起始时间从被创建时开始算起。3.3ARP高速缓存UDPTCPIPICMPIGMPARPBCAARPCache214651.ARPcacheischecked2.ARPrequestissent3.ARPentryisadded4.ARPreplyissent5.ARPentryisadded6.IPpacketissentARPCache3EthernetARP封装3.3ARP高速缓存ARP高速缓存按照缺省设置，ARP高速缓存中的项目是动态的，每当发送一个指定地点的数据报且高速缓存中不存在当前项目时，ARP便会自动添加该项目。ARP高速缓存中地址映射表项的超时问题：由于IP地址与物理地址的映射关系可能因网络接口或IP地址的变化而发生变化，对于ARP高速缓存中地址映射表项都存在一个过时的问题。一旦高速缓存的项目被输入，它们就已经开始走向失效状态。解决：给ARP高速缓存中的每一个表项设置一个超时值，使得每个地址映射表项都有一个生命期。例如，在WindowsNT网络中，如果输入项目后不进一步使用，物理/IP地址对就会在2至10分钟内失效。因此，如果ARP高速缓存中项目很少或根本没有时，是正常的。3.3ARP高速缓存静态ARP表项一种控制地址映射表项超时值的方法是在ARP高速缓存中创建一个静态表项。静态表项是永不超时的地址映射表项。静态表项主要用在一台主机经常向另一台主机发送ARP请求的情况下，为了提高效率，减少不必要的开销。使用ARP实用程序可以人工删除静态表项。重新启动主机也会使静态表项丢失。问题：静态表项是固定不变的吗?静态表项也有可能发生变化（仅在早期操作系统，WindowsXP和Windowsserver2003）：当主机接收到ARP广播，而且该广播所含的地址信息与当前ARP高速缓存中对应的静态表项不一致时，主机将用新收到的物理地址替代原有的物理地址，并为该表项设置超时值，使其不再是静态表项。3.3ARP高速缓存ARP命令可以通过arp命令查看、添加和删除高速缓存中的内容。arp命令可以显示、添加和删除arp内容。在windows和unix系统中都有这个命令。arp-a[inet_addr]显示地址映射表项，[]为可选项。arp-g[inet_addr]功能与arp-a[inet_addr]相同。arp-dinet_addr删除由inet_addr所指定的表项。arp-sinet_addrphys_addr增加由inet_addr和phys_addr指定的静态表项。arp/?显示帮助netshinterfaceipdeletearpcache刷新ARP缓存说明：1、使用ARP命令查看高速缓存内容前最好先ping此台主机或路由器。2、为了能抓到ARP协议包，最好在命令行中运行arp–d清除arp缓存。3.3ARP高速缓存实例3.3ARP高速缓存假设一台IP地址为172.16.1.9，子网掩码为255.255.255.0的客户机希望向IP地址为172.16.2.5的主机发送IP数据报。当主机A要向主机B传输数据报时，TCP/IP软件会利用子网掩码确定主机B位于远程子网上。3.3ARP高速缓存假设一台IP地址为172.16.1.9，子网掩码为255.255.255.0的客户机希望向IP地址为172.16.2.5的主机发送IP数据报。3.3ARP高速缓存假设一台IP地址为172.16.1.9，子网掩码为255.255.255.0的客户机希望向IP地址为172.16.2.5的主机发送IP数据报。应答第三讲ARP和RARP引言ARPARP高速缓存代理ARP免费ARPRARPARP病毒及防护本章小结3.4代理ARP什么是代理ARP如果ARP请求是从一个网络的主机发往另一个网络上的主机，那么连接这两个网络的路由器就可以回答该请求，此过程称作代理ARP(ProxyARP)。这样对发起ARP请求的发送端是透明的，使它误以为路由器就是目的主机，而事实上目的主机是在路由器的“另一边”。路由器的功能相当于目的主机的代理，把分组从其他主机转发给它。描述见RFC1027代理ARP的优点：子网的变化对主机是透明的。代理ARP的缺点：增加了某一网段上ARP流量，需要更大的ARP表来处理IP地址到MAC地址的映射；安全问题,比如ARP欺骗。3.4代理ARP代理ARP可用来产生划分子网的效应。代理ARP可以代表一组主机的ARP。第三讲ARP和RARP引言ARPARP高速缓存代理ARP免费ARPRARPARP病毒及防护本章小结3.5免费ARP免费ARP(gratuitousARP)是指主机发送ARP查找自己的IP地址。通常，它发生在系统引导期间进行接口配置或更改IP地址的时候。免费ARP报文的特点：报文中携带的源IP和目的IP地址都是本机地址。报文源MAC地址是本机MAC地址。目的MAC地址为全0。3.5免费ARP免费ARP可以有两个方面的作用：查找相同IP地址：一个主机可以通过它来确定另一个主机是否设置了相同的IP地址。免费ARP的报文发出去如果收到回应，则证明自己目前使用的IP地址与某机器相同。在所有网络设备（包括计算机网卡）up的时候，都会发送这样的免费ARP广播，以宣告并确认有没有冲突。更新ARP缓存：如果发送免费ARP的主机正好改变了硬件地址（很可能是主机关机了，并换了一块接口卡，然后重新启动），那么这个分组就可以使其他主机高速缓存中旧的硬件地址进行相应的更新。3.5免费ARP免费ARP示例：第三讲ARP和RARP引言ARPARP高速缓存代理ARP免费ARPRARPARP病毒及防护本章小结3.6RARPRARP概念当一个机器只知道它的物理地址时，RARP可用来获得它的逻辑地址。详细描述参见RFC903。网络上的每个系统都具有唯一的硬件地址，它是由网络接口生产厂家配置的。一些网络主机，如无盘工作站，在它们被引导时不知道自己的IP地址。系统的RARP实现过程是从网络接口卡上读取唯一的硬件地址，然后发送一份RARP请求（一帧在网络上广播的数据），请求某个主机响应该无盘系统的IP地址（在RARP应答中）。RARP的分组格式与ARP完全一样，仅仅是操作字段是3（RARP请求）或者4（RARP应答）。RARP请求在链路层封装时，目的地址应为0xFFFFFFFFFFFF3.6RARPRARP请求报文发送方硬件地址、发送方IP地址、目的硬件地址、目的IP地址各字段都填充什么？硬件类型：0x0001协议类型：0x0800硬件地址长度：0x0006协议地址长度：0x0004操作类型：0x0003发送硬件地址：发送主机MAC地址发送方IP地址：0x000000000000目的硬件地址：发送主机MAC地址目的IP地址：0x000000000000第三讲ARP和RARP引言ARPARP高速缓存代理ARP免费ARPRARPARP病毒及防护本章小结3.7ARP病毒及防护现象“ARP欺骗”系列病毒自06年出现以来，一直难以根除。一旦感染此病毒，就会在局域网内发起攻击，导致其他用户不能上网，危害严重。电脑中毒后会向同网段内所有计算机发ARP欺骗包，导致网络内其它电脑因网关物理地址被更改而无法正常上网，被欺骗电脑的典型症状是刚开机能上网，几分钟之后断网，过一会又能上网，或者重启一遍电脑就可以上网，一会又不好了，如此不断重复，影响正常使用。3.7ARP病毒及防护病毒原理当某台电脑感染了ARP欺骗病毒/木马程序后，会不定期发送伪造的ARP响应报文和广播报文。受感染电脑发出的这种报文会欺骗所在网段其他电脑。一方面对其他电脑称自己的MAC就是网关的MAC，导致其他电脑发送的信息不能直接到达网关。另一方面对实际网关称其他电脑的MAC都是自己的MAC，这样网关无法更新它的ARP表，无法正确的转发数据帧到实际用户电脑。3.7ARP病毒及防护病毒自查手段对于Windows操作系统，在运行了一些网络应用后通过Alt＋Ctrl＋Del键进入Windows任务管理器，在进程页面中查看是否有1.exe、2.exe、3.exe、……、10.exe中的任意一个或几个，如果有那么这台计算机基本已经中毒了。此外如果进程页面中有svhost32这个进程，那么同样也有大于95％的可能性已经中毒了。应立即段网，认真清除本机病毒。3.7ARP病毒及防护病毒防治目前无专杀ARP病毒的有效软件，对未中毒被攻击电脑防护办法：静态绑定：最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。“arp-sIP  MAC地址”。所以把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。使用ARP防护软件：常见的有ArpFix，AntiArp，360安全卫士等软件。ArpFix软件下载：ftp://166.111.8.243/tools/ArpFix.rarAntiArp软件下载：http://www.antiarp.com/推荐一个下载软件的教育网内地址：鹭图软件http://210.34.212.108/softdown/index.asp3.7ARP病毒及防护ARP防护软件的使用示例下载AntiArp软件在本机安装运行（见图），在“网关地址”中输入本机网关地址，然后点击“获取MAC”按钮，再点击“自动防护”即可。由于此病毒只感染同一个网段的电脑，因此，如果用户所在的网段没有电脑感染ARP病毒，即用户上网正常，没有如上的症状，就不需要安装此软件进行防护。ArpFix软件的使用见http://www.tunet.edu.cn/newsdetail.php?nid=2333.7ARP病毒及防护第三讲ARP和RARP引言ARPARP高速缓存代理ARP免费ARPRARPARP病毒及防护本章小结本章小结ARP、RARP掌握ARP分组格式ARP的高速缓存，ARP命令代理ARP免费ARP了解ARP病毒实验安排题目：ARP协议分析及命令使用时间：周一3---4节（3月26日），12J216，网络0801周一5---6节（3月26日），12J216，网络0802内容：用分析软件捕获ARP协议，进行分析。捕获免费ARP协议，进行分析。练习ARP命令的使用。注意事项：带好实验纸，当堂撰写实验报告。2人一组，请提前组合，上机位置相邻。作业ARP分组的长度是固定的吗？试加以解释。分析题：有一个ARP报文如下(十六进制表示) 00010800 0604000100005e0001ea864aea01000000000000864aea01回答以下问题：源MAC地址是什么？目的MAC地址是什么？这是一个ARP请求报文还是应答报文？硬件地址长度是多少？协议地址长度是多少？这是一个免费ARP吗？