地址解析实例 主机 主机 主机主机 A 路由器 MAC R1 MAC R2 NET N NET N2 B发送分组给D ■使用缺省路由 B根据D的IP地址的网络号知道它不属于NETN1,直接将分组发送到缺省路 由器R1如果在 ARP Cache中没有缺省路由器的MAC,则需要通过ARP过程 来获取,ARP过程使用路由器的地址 B发送帧到路由器,帧的 SrCMAC=MB, SrcIP=N1B, DstMAC=R1, DstIPEN2D 路由器查找自己的 ARP Cache,获得D的MAC地址,将分组向D转发,在 N2网络上的帧的 SrcMAO=R2, SrcIP:=N1B, DstMAC=MD, DstIP=N2D 21
21 地址解析实例 ◼ 使用缺省路由 ◼ B根据D的IP地址的网络号知道它不属于NET N1,直接将分组发送到缺省路 由器R1(如果在ARP Cache中没有缺省路由器的MAC,则需要通过ARP过程 来获取,ARP过程使用路由器的IP地址) ◼ B发送帧到路由器,帧的SrcMAC=MB,SrcIP=N1B,DstMAC=R1, DstIP=N2D ◼ 路由器查找自己的ARP Cache,获得D的MAC地址,将分组向D转发,在 N2网络上的帧的SrcMAC=R2,SrcIP=N1B,DstMAC=MD, DstIP=N2D 路由器 主机 A 主机 B 主机 D 主机 C MAC R1 NET N1 MAC R2 NET N2 B 发送分组给 D
ARP Spoofing a broadcastS ARP 防范措施 Request asking which ■监测可疑的ARP流量, MAC addr belongs to IP Addr: 192.168.3 80 特别是网关和路由器 192.168.3.80 MAC: CC. CC. CC. CC. CC: C( 等关键设备的MAC地 址的变化。 n通过划分子网、VLAN IP Addr:192.168.3.70 2. Attacker forges a ARP等措施限制ARP的广 MA: AA.AA:AA:AA:AA: AA Reply before B can respond播域 Attacker 3. a begins sending 在 ARP Cache中静态 data intended for B 配置IP和MAC地址的 to attacker P Addr:192.168.390 映射表项 MAC: DD: DDDD: DDDD: DD 22
22 ARP Spoofing ◼ 防范措施 ◼ 监测可疑的ARP流量, 特别是网关和路由器 等关键设备的MAC地 址的变化。 ◼ 通过划分子网、VLAN 等措施限制ARP的广 播域 ◼ 在ARP Cache中静态 配置IP和MAC地址的 映射表项 IP Addr:192.168.3.70 MAC:AA:AA:AA:AA:AA:AA IP Addr:192.168.3.90 MAC:DD:DD:DD:DD:DD:DD IP Addr:192.168.3.80 MAC:CC:CC:CC:CC:CC:CC A B Attacker 1. A broadcasts ARP Request asking which MAC addr belongs to 192.168.3.80 2. Attacker forges a ARP Reply before B can respond 3. A begins sending data intended for B to attacker
反向ARP 反向ARP: Reverse RARP Request(谁知道我的P地址?) ARP RFC 903 b 用于查找物理地址所对A B 应的IP地址,例如对于 RARP Reply(A的P地址) 无盘机,启动时需要知 道自己的IP地址 A B 23
23 反向ARP ◼ 反向ARP :Reverse ARP ◼ RFC 903 ◼ 用于查找物理地址所对 应的IP地址,例如对于 无盘机,启动时需要知 道自己的IP地址 A B C RA R P R e q u e s t ( 谁 知 道 我 的 I P 地 址 ? ) A B C RA R P R e p l y ( A 的 I P 地 址 )
ARP协议帧格式 Preamble Start Dest Src Type (7B) delimiter(1B)address(6B)Address (6B)(2B) PAD/CRC 4B 硬件类型协议类型物理地址|协议地址操作发送者发送者目的目的 2B 2B 长度1B长度1B2B物理地址P地址物理地址IP地址 帧类型(Type):ARP请求及响应为0X0806 硬件类型:指发送者的网络接口类型,如以太网为1 协议类型:指发送者所采用的网络层协议类型,如IP协议为0X0800 操作:ARP请求—1,ARP响应2,RARP请求—3,RARP响应 244
24 ARP协议帧格式 Preamble (7B) Start delimiter (1B) Dest. address (6B) Src. Address (6B) Type (2B) 协议类型 2B 物理地址 长度1B 硬件类型 2B 协议地址 长度1B 操作 2B 发送者 物理地址 发送者 IP地址 目的 物理地址 目的 IP地址 PAD CRC 4B 帧类型(Type):ARP请求及响应为0X0806 硬件类型:指发送者的网络接口类型,如以太网为1 协议类型:指发送者所采用的网络层协议类型,如IP协议为0X0800 操作:ARP请求——1,ARP响应——2,RARP请求——3,RARP响应—— 4
特殊情况 目的IP地址为广播地址 目的MAC地址为FF: FF::FF:FF:FF 目的IP地址为组播地址 n目的MAc地址:采用地址映射,即将IP组 播地址的低23位映射到MAc地址的低23位, 前面加上01005E 01005E0+IP组播地址低23位 问题:IP组播地址是低28位不同(最高四位为1110),但低 23位可能存在重复,这样的映射会造成多对
25 特殊情况 ◼ 目的IP地址为广播地址 ◼ 目的MAC地址为FF:FF:FF:FF:FF:FF ◼ 目的IP地址为组播地址 ◼ 目的MAC地址:采用地址映射,即将IP组 播地址的低23位映射到MAC地址的低23位, 前面加上01005E 25 问题:IP组播地址是低28位不同(最高四位为1110 ),但低 23位可能存在重复,这样的映射会造成多对一 01 00 5E 0+IP组播地址低23位