从零开始的Linux运维屌丝之路,资源免费分享平台   运维人员首选:简单、易用、高效、安全、稳定、社区活跃的开源软件

ARP协议简单了解

发布:蔺要红04-21分类: Proxy


为什么要使用ARP协议
 

OSI模型把网络工作分为七层,彼此不直接打交道,只通过接口(layerinterface)。
IP地址工作在第三层,
MAC地址工作在第二层。
当协议在发送数据包时,需要先封装第三层(IP地址),第二层(MAC地址) 的报头,
但协议只知道目的节点的IP地址,不知道其MAC地址,又不能跨第二、三层,所以得用ARP协议服务。

高可用软件的使用:当VIP切换到另外一台机器的时候,由于ARP缓存的存在,所以要更新ARP缓存表


ARP协议要求通信的主机双方必须在同一个物理网段(即局域网环境)
 

ARP小结
ARP 全称 “Address Resolution Protocol”
实现局域网内通过IP地址获取主机的MAC地址。
MAC地址:48位主机的物理地址,局域网内唯一。
ARP协议类似DNS服努,但不需要配置ARP服务。
ARP协议是0SI 7层模型第三层网络层协议。
ARP协议要求通信的主机双方必须在同一个物理网段(即局城网坏境)

[root@lb02 /server/scripts]# arp  -a
? (10.10.10.21) at 00:0c:29:de:26:b5 [ether] on ens33
? (10.10.10.20) at 00:0c:29:af:48:98 [ether] on ens33
gateway (10.10.10.1) at d0:76:e7:f8:cc:5e [ether] on ens33
? (10.10.10.5) at 00:0c:29:78:1f:b2 [ether] on ens33
? (10.10.10.200) at 30:b4:9e:c6:23:de [ether] on ens33
? (10.10.10.213) at 48:3b:38:98:47:bd [ether] on ens33
 



ARP欺骗原理描述
 

ARP攻击就是通过伪造IP地址和MAC地址对实现ARP欺骗的,如果一台主机中了 ARP病毒,那么它就能够在网络中产生大量的ARP通信量(它会以很快的频率进行广播),以至于使网络阻塞,
攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IPP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。 


ARP缓存表是把双刃剑
 

主机有了 arp缓存表,可以加快ARP的解析速度,减少局域网内广播风暴
正是有了 arp缓存表,给恶意黑客带来了攻击服务器主机的风险,这个就是arp欺骗攻
切换路由器,负载均衡器等设备时,可能会导致短时网络中断
在一定时间内(一般15-20分钟)如果arp缓存表中的某一行记录没有使用,就会在动被删除
当网络中一台提供服务的机器宕机后,当在其他运行正常的机器添加宕机的机器的IP 时,
会因为客户端的ARP table cache的地址解析还是宕机的机器的MAC地址。
从而导致, 即使在其他运行正常的机器添加宕机的机器的IP,也会发生客户依然无法访问的情况。 


解决办法是:当机器宕机,IP地址迁移到其他机器上时,需要通过arping命令来通知所有网络内机器清除其本地的ARP table cache,从而使得客户机访问时重新广播获取MAC地址。 
这个在自己开发脚本实现服务器的高可用时是要必须考虑的问题之一,几乎所有的高可 用软件都会考虑这个问题。 ARP广播而进行新的地址解析。 linux下的具体命令:

/sbin/arping -c 3  -I ens33 -s 10.10.10.5  10.10.10.1

[root@lb01 ~]# /sbin/arping -c 3 -s 10.10.10.5  10.10.10.1
ARPING 10.10.10.1 from 10.10.10.5 ens33
Unicast reply from 10.10.10.1 [D0:76:E7:F8:CC:5E]  3.640ms
Unicast reply from 10.10.10.1 [D0:76:E7:F8:CC:5E]  5.059ms
Sent 3 probes (2 broadcast(s))
Received 2 response(s)
 
温馨提示如有转载或引用以上内容之必要,敬请将本文链接作为出处标注,如有侵权我会在24小时之内删除!

欢迎使用手机扫描访问本站