ARP協(xié)議的工作原理

1.1 ARP協(xié)議的含義及作用

ARP是“address resolution protocol”的縮寫，全稱“地址解析協(xié)議”。在網(wǎng)絡(luò)通信中，通信主機之間直接通過IP地址進行相互識別，而數(shù)據(jù)傳輸必須要依靠網(wǎng)卡的物理地址進行尋址。ARP的主要作用就是將IP地址轉(zhuǎn)換成MAC地址，保障網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間的正常通信。

根據(jù)國際標準化組織（ISO）和國際電報電話咨詢委員會（CCITT）聯(lián)合制定的開放系統(tǒng)互連參考模型系統(tǒng)（OSI）定義的功能框架，ARP協(xié)議工作在其定義的第三層網(wǎng)絡(luò)層，而網(wǎng)絡(luò)層要和它的下一層數(shù)據(jù)鏈路層進行通信必須要依靠ARP協(xié)議。

1.2 ARP報文格式

硬件類型：表示ARP協(xié)議可以在某種類型的網(wǎng)絡(luò)上傳輸，其長度為2個字節(jié)，值為1的時候表示以太網(wǎng)地址類型。

上層協(xié)議類型：表示硬件地址要映射的協(xié)議地址類型，其長度為2個字節(jié)，值為0x800表示映射的是IP協(xié)議。

MAC地址長度：表示MAC地址的長度，其長度為1個字節(jié)，ARP協(xié)議中此值為6。

IP地址長度：表示IP地址的長度，其長度為1個字節(jié)，ARP協(xié)議中此值為4。

操作類型：表示本次ARP報文類型，其長度為2個字arp攻擊防御措施節(jié)，值為1時表示ARP請求報文，值為2時表示ARP應(yīng)答報文。

源MAC地址：表示發(fā)送設(shè)備的MAC地址，其長度為6個字節(jié)。

源IP地址：表示發(fā)送設(shè)備的IP地址，其長度為4個字節(jié)。

目的MAC地址：表示接收設(shè)備的MAC地址，其長度為6個字節(jié)。

目的IP地址：表示接收設(shè)備的IP地址，其長度為4個字節(jié)。

1.3 ARP地址映射表

硬件設(shè)備正常使用ARP協(xié)議工作離不開設(shè)備中的ARP映射表，ARP映射表中是IP和MAC地址的一一對應(yīng)關(guān)系。表1中可以看到ARP協(xié)議的工作離不開IP地址和MAC地址，圖1中可以看到每個IP地址對應(yīng)一個MAC地址，設(shè)備通過ARP協(xié)議解析把數(shù)據(jù)交付給目標MAC設(shè)備，本機隨之更新ARP映射表，增加目標設(shè)備的IP和MAC記錄，用于后續(xù)同一設(shè)備的數(shù)據(jù)幀的轉(zhuǎn)發(fā)。

arp攻擊防御措施

網(wǎng)絡(luò)安全設(shè)備防御：開啟ARP防火墻功能，配置ARP安全防護策略，ARP防火墻能夠及時攔截虛假ARP數(shù)據(jù)包并且主動通告網(wǎng)關(guān)本機正確的MAC地址，從而保證數(shù)據(jù)定向正確，保證數(shù)據(jù)安全、網(wǎng)絡(luò)暢通［3］。

網(wǎng)絡(luò)傳輸設(shè)備防御：一是針對網(wǎng)關(guān)防御，進行ARP綁定，防御網(wǎng)關(guān)被欺騙;同時采取ARP報文數(shù)量限制策略，防御ARP泛洪攻擊。二是接入設(shè)備防御，進行對終端的IP和MAC進行綁定，防過濾偽造網(wǎng)關(guān)報文［4］。三是采用VLAN隔離技術(shù)，VLAN隔離技術(shù)可以最大限度的減小ARP攻擊造成的危害，實現(xiàn)快速縮小查找ARP攻擊范圍和解決攻擊的難題。

用戶客戶端防御：一是安裝殺毒軟件，開啟防護功能，市場主流的殺毒軟件可以有效地控制ARP病毒的攻擊。二是配置靜態(tài)網(wǎng)關(guān)地址，可以有效的抵制網(wǎng)絡(luò)抵制的欺騙，為終端的網(wǎng)絡(luò)通常提供有效的保障。三是綁定網(wǎng)關(guān)地址，使用ARP-S命令可以綁定網(wǎng)關(guān)地址，有效防御ARP攻擊。
責任編輯：YYX