地址检查本地TCPIP端口1433是否被监听

在以太网 协议中规定 同一局域网 中一台主机 要与另一台主机进行直接通信必须要知道目标主机MAC地址。而在TCP/IP协议 栈中 网络层 与传输层 只关心目标主机 IP地址。这就导致在以太网 中使用IP协议时数据链路层 以太网协议接到上层IP协议提供数据中只包含

目主机 IP地址。于是需要一种方法根据目主机 IP地址获得其MAC地址。这就是ARP协议 要做事情。所谓地址剖析address resolution就是主机 在发送帧前将目

标I P地址转换成目标MAC地址过程。

另外当发送主机与目主机不在同一个局域网 中时即便知道目主机MAC地址两者也不能直接通信必须经过路由转发才可以。所以此时发送主机通过ARP协议获得将不是目主机真实MAC地址而是一台可以通往局域网外路由器某个端口MAC地址。于是此后发送主机发往目主机所有帧都将发往该路由器通过它向外发送。这种情况称为ARP代理

ARP Proxy 。

工作原理

ARP

在每台安装有TCP/IP协议电脑里都有一个ARP缓存表表里IP地址与MAC地址是一一对应。

ARP工作原理

以主机A 192. 168. 1. 5 向主机B 192. 168. 1. 1 发送数据为例。当发送数据时主机A会在自己ARP缓存表中寻找是否有目标IP地址。如果

第1页

找到了也就知道了目标MAC地址直接把目标MAC地址写入帧里面发送就可以了如果在ARP缓存表中没有找到目标IP地址主机A就会在网络上发送一个广播 A主机MAC地址是“主机AMAC地址” 这表示向同一网段内所有主机发出这样询问 “我是192. 168. 1. 5我硬件地址是"主机AMAC地址".请问IP地址为192. 168. 1. 1MAC地址是什么 ”网络上其他主机并不响应ARP询问只有主机B接收到这个帧时才向主机A做出这样回应 “192. 168. 1. 1MAC地址是00-aa-00-62-c6-09” 。这样主机A就知道了主机BMAC地址它就可以向主机B发送信息了。 同时A与B还同时都更新了自己ARP缓存表因为A在询问时候把自己IP与MAC地址一起告诉了B 下次A再向主机B或者B向A发送信息时直接从各自ARP缓存表里查找就可以了。 ARP缓存表采用了老化机制即设置了生存时间TTL 在一段时间内 一般15到20分钟如果表中某一行没有使用就会被删除这样可以大大减少ARP缓存表长度加快查询速度。

ARP攻击就是通过伪造IP地址与MAC地址实现ARP欺骗能够在网络中产生大量ARP通信量使网络阻塞攻击者只要持续不断发出伪造ARP响应包就能更改目标主机ARP缓存中IP-MAC条目造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网 网络中局域网中若有一个人感染ARP木马则感染该ARP木马系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机通信信息并因此造成网内其它计算机通信故障。

RARP工作原理

第2页

1 发送主机发送一个本地RARP广播在此广播包中声明自己MAC地址并且请求任何收到此请求RARP服务器分配一个IP地址

2 本地网段上RARP服务器收到此请求后检查其RARP列表查找该MAC地址对应IP地址

3 如果存在 RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用

4 如果不存在 RARP服务器对此不做任何响应

5源主机收到从RARP服务器响应信息就利用得到IP地址进行通讯如果一直没有收到RARP服务器响应信息表示初始化失败。

6如果在第1-3中被ARP病毒攻击则服务器做出反映就会被占用源主机同样得不到RARP服务器响应信息此时并不是服务器没有响应而是服务器返回源主机IP被占用。

数据结构

ARP协议数据结构typedef structarphdrunsigned short arp_hrd;/*硬件类型*/unsigned short arp_pro;/*协议类型*/unsigned char arp_hln;/*硬件地址长度*/unsigned char arp_pln;/*协议地址长度*/unsigned short arp_op;/*ARP操作类型*/unsigned char arp_sha[6] ;/*发送者硬件地址*/unsigned long arp_spa;/*发送者协议地址*/

第3页

unsigned char arp_tha[6] ;/*目标硬件地址*/unsigned long arp_tpa;/*目标协议地址*/

}A RPHD R,*PA RPHD R;

RARP反向地址剖析协议

反向地址剖析协议用于一种特殊情况如果站点被初始化后 只有自己物理网络地址而没有IP地址则它可以通过RARP协议并发出广播请求征求自己IP地址而RARP服务器则负责回答。这样无IP站点可以通过RARP协议取得自己I P地址这个地址在下一次系统重新开始以前都有效不用连续广播请求。 RARP广泛用于获取无盘工作站IP地址。

ARP缓存表查看方法及修改

ARP缓存表是可以查看也可以添加与修改。在命令提示符下输入“arp-a”就可以查看ARP缓存表中内容了如附图所示。arp -a

用“arp -d”命令可以删除ARP表中所有内容

用“arp+空格+ <指定ip地址>+空格-d” 可以删除指定ip所在行内容用“arp -s”可以手动在ARP表中指定IP地址与MAC地址对应类型为static(静态) 静态ARP缓存除非手动清除否则不会丢失。无论是静态还是动态ARP缓存重启启动计算机后都会丢失。

编辑本段电子防翻滚系统

ARP英文全称是Anti Rolling Program 即电子防翻滚功能。它通过感知车辆位置调节发动机扭矩及各车轮制动力从而防止车辆在高速急转弯等紧急状况时发生翻车状况。如雪佛兰科帕奇就标配了此系统。

第4页

编辑本段ARP欺骗

其实此起彼伏瞬间掉线或大面积断网大都是ARP欺骗在作怪。 ARP欺骗攻击已经成了破坏网吧经营罪魁祸首是网吧老板与网管员心腹大患。从影响网络连接通畅方式来看 ARP欺骗分为二种一种是对路由器ARP表欺骗 另一种是对内网PC网关欺骗。第一种ARP欺骗原理是——截获网关数据。它通知路由器一系列错误内网MAC地址并按照一定频率不断进行使真实地址信息无法通过更新保存在路由器中结果路由器所有数据只能发送给错误MAC地址造成正常PC无法收到信息。第二种ARP欺骗原理是——伪造网关。它原理是建立假网关让被它欺骗PC向假网关发数据而不是通过正常路由器途径上网。在PC看来就是上不了网了 “网络掉线了” 。一般来说 ARP欺骗攻击后果非常严重大多数情况下会造成大面积掉线。有些网管员对此不甚了解 出现故障时认为PC没有问题交换机没掉线“本事”  电信也不承认宽带故障。而且如果第一种ARP欺骗发生时只要重启路由器 网络就能全面恢复那问题一定是在路由器了。为此 宽带路由器背了不少“黑锅” 。作为网吧路由器厂家对防范ARP欺骗不得已做了不少分内、分外工作。一、在宽带路由器中把所有PCIP-MAC输入到一个静态表中这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关静态ARP信息这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做称其为IP-MAC双向绑定。显示与修改“地址剖析协议” (ARP)所使用到以太网 IP或令牌环物理地址翻译表。该命令只有在安装了TCP/IP协议之后才可用。arp -a [inet_addr] [-N [if_addr]

第5页

arparp -d inet_addr [if_addr]arp -s inet_addr ether_addr [if_addr]

参数

-a

通过询问TCP/IP显示当前ARP项。如果指定了 inet_addr则只显示指定计算机 IP与物理地址。

-g

与-a相同。inet_addr

以加点十进制标记指定IP地址。

-N

显示由 if_addr指定网络界面ARP项。if_addr

指定需要修改其地址转换表接口 IP地址如果有话 。如果不存在将使用第一个可适用接口。

-d

删除由 inet_addr指定项。

-s

在ARP缓存中添加项将IP地址inet_addr与物理地址ether_addr关联。物理地址由以连字符分隔6个十六进制字节给定。使用带点十进制标记指定IP地址。项是永久性即在超时到期后项自动从缓存删除。

第6页

ether_addr

指定物理地址。

编辑本段遭受ARP攻击后现象

ARP欺骗木马中毒现象表现为使用局域网时会突然掉线过一段时间后又会恢复正常。比如客户端状态频频变红用户频繁断网 IE浏览器频繁出错 以及一些常用软件出现故障等。如果局域网 中是通过身份认证上网会突然出现可认证但不能上网现象无法ping通网关 重启机器或在MS-DOS窗口下运行命令arp -d后又可恢复上网。ARP欺骗木马只需成功感染一台电脑就可能导致整个局域网都无法上网严重甚至可能带来整个网络瘫痪。该木马发作时除了会导致同一局域网 内其他用户上网出现时断时续现象外还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码与账号去做金钱交易盗窃网上银行账号来做非法交易活动等这是木马惯用伎俩给用户造成了很大不便与巨大经济损失。

编辑本段常用维护方法

搜索网上 目前对于ARP攻击[1]防护问题出现最多是绑定IP与MAC与使用ARP防护软件也出现了具有ARP防护功能路由器。下面来了解以下三种方法静态绑定、 Antiarp与具有ARP防护功能路由器。

静态绑定

最常用方法就是做IP与MAC静态绑定在网内把主机与网关都做IP与MAC绑定。

第7页

欺骗是通过ARP动态实时规则欺骗内网机器所以我们把ARP全部设置为静态可以解决对内网PC欺骗同时在网关也要进行IP与MAC静态绑定这样双向绑定才比较保险。

方法

对每台主机进行IP与MAC地址静态绑定。

通过命令 arp -s可以实现 “arp – s IP MAC地址” 。

例如 “arp – s 192. 168. 10. 1 AA-AA-AA-AA-AA-AA” 。

如果设置成功会在PC上面通过执行arp -a可以看到相关提示

Internet Address Physical Address Type

192 168. 10. 1 AA-AA-AA-AA-AA-AA static(静态)

一般不绑定,在动态情况下

Internet Address Physical Address Type

192 168. 10. 1 AA-AA-AA-AA-AA-AA dynamic(动态)

说明对于网络中有很多主机 500台 1000台. . . 如果我们这样每一台都去做静态绑定工作量是非常大。 这种静态绑定在电脑每次重起后都必须重新在绑定虽然也可以做一个批处理文件但是还是比较麻烦

3 2使用ARP防护软件

当前关于ARP类防护软件出比较多了大家使用比较常用ARP工具主要是欣向ARP工具 Antiarp等。它们除了本身来检测出ARP攻击外防护工作原理是一定频率向网络广播正确ARP信息。我们还是来简单说下这两个小工具。

第8页

3 2. 1欣向ARP工具

俺使用了该工具它有5个功能: 

A. IP/MAC清单

选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网那块网卡。

IP/MAC扫描。这里会扫描当前网络中所有机器IP与MAC地址。请在内网运行正常时扫描 因为这个表格将作为对之后ARP参照。

之后功能都需要这个表格支持如果出现提示无法获取IP或MAC时就说明这里表格里面没有相应数据。

B. ARP欺骗检测

这个功能会一直检测内网是否有PC冒充表格内IP。你可以把主要IP设到检测表格里面例如路由器 电影服务器等需要内网机器访问机器IP。

(补充) “ARP欺骗记录”表如何理解

“Time” 发现问题时时间

“sender” 发送欺骗信息IP或MAC

“Repeat” 欺诈信息发送次数

“ARP info” 是指发送欺骗信息具体内容.如下面例子time sender Repeat ARP info 22:22:22 192. 168. 1.22 1433 192. 168. 1. 1is at 00:0e:03:22:02:e8

ARP

第9页