关于防火墙的arp代理功能对不同格式的arp报文的处理情况的实验
作者:易隐者 发布于:2012-9-16 10:42 Sunday 分类:网络分析
1 实验环境
构建如下图所示的简单的实验环境即可,测试机为xp系统。
2 实验目的
验证防火墙的arp代理功能对不同格式(主要指xp系统免费arp格式和vista系统在网卡加载地址时发送的arp报文格式)的arp报文的响应情况。
3 实验工具
在此实验中使用到的工具主要有:
1、wireshark,主要用于实验时的报文捕获;
2、科来网络分析系统,主要用于构造vista系统网卡加载地址时发送的arp报文。
4 实验步骤
一、验证防火墙对xp系统免费arp报文的响应情况
实验步骤:
1、配置防火墙的arp代理功能;
2、在测试机器上开启wireshark,抓取本地网卡的数据包;
3、更改测试机网卡地址,以便测试机发送免费arp报文;
4、地址更改成功后,查看数据包。
实验现象:
通过分析数据包,我们发现,防火墙没有响应xp系统的免费arp报文。
二、验证防火墙对vista系统网卡加载地址期间发送的arp报文的响应情况
实验步骤:
1、配置防火墙的arp代理功能;
2、在测试机器上开启wireshark,抓取本地网卡的数据包;
3、使用科来网络分析系统,构造vista系统网卡加载地址期间发送的arp报文并向本地网卡发送;
4、地址更改成功后,查看数据包。
实验现象:
通过分析数据包,我们发现,防火墙以下图所示的报文格式响应的这个arp请求报文:
同时,测试机弹出地址冲突提示窗口。
5 实验总结
以上实验证明:防火墙的arp代理功能,不会响应标准的免费arp请求包,而正如七哥所说的“Vista的ARP报文似乎不符合ARP请求的规范,所以不能算做免费的ARP”,因此防火墙对vista系统网卡地址加载期间发送的arp请求包进行了回应。
标签: wireshark ARP 防火墙 科来 免费ARP ARP代理 VISTA 实验
ARP代理(Proxy ARP)
作者:易隐者 发布于:2012-9-16 9:33 Sunday 分类:网络分析
ARP代理通俗地说,就是由中间设备代替其他主机响应arp请求。下图展现了ARP代理工作的主要过程:
ARP代理工作的过程说明
1,192.168.0.16/16主机向外发送目的主机为192.168.1.3/24的ARP请求报文;
2,网关收到0.16的ARP请求报文,由于网关开启了ARP代理的功能,因此网关代替1.3向0.16发送ARP响应数据报;
3,网关向1.0/24网段发送1.3的ARP请求报文;
4,1.3收到后,发送ARP响应报文。
ARP代理带来的问题
在开启ARP代理功能之后,很可能会导致地址冲突等类似故障的产生,如在下图的网络环境下,将会产生一系列的不稳定的故障现象产生。
正因为如此,我们在实际工作的环境中对于ARP代理功能的应用需要慎重一些,尽量避免针对整个网段使用ARP代理功能,最好只针对需要使用ARP代理功能来实现某些特殊功能需求的少数IP开启。
ARP代理在实际工作中的应用
1,AnyIP
AnyIP是指机器随便使用什么IP地址或网关信息,只要接入网络中都可以实现访问的需求。这个技术被广泛的应用在soho级网关产品中,特别是在宾馆、会议室、广场等公共场所,为网络使用者提供了很大的便利。
其工作原理就是利用了ARP代理的功能,在收到非本地IP地址的ARP请求报文时,对其进行ARP响应。这样,那些收到ARP响应的主机就会将相关的数据包发送至网关设备接口处,再由网关设备转发出去,从而实现了上网的功能。
2,网关地址映射
在很多网关设备上,都支持将内网的服务器映射为公网地址对外提供服务,以达到隐藏内部网络的目的,这种地址映射也是利用ARP代理技术来实现的,我们来简单看一下下图所示的地址映射的工作过程:
地址映射的工作过程
在这个过程中,当来自互联网的数据访问产生了对映射外网地址202.102.X.2的ARP请求报文,正常情况下,因为这个地址的真实主机并不存在,发送端是不会收到来自202.102.X.2的ARP响应报文的。但是,由于网关上启用了针对202.102.X.2的ARP代理功能,网关会替代202.102.X.2发送ARP响应报文。从而实现了地址映射访问的需求。
标签: ARP ARP代理 代理ARP AnyIP Proxy ARP 地址映射
免费ARP(gratuitousARP)
作者:易隐者 发布于:2012-9-15 17:26 Saturday 分类:网络分析
免费ARP的格式
免费ARP报文与普通ARP请求报文的区别在于普通的ARP请求报文,其ARP封装内的“目的IP地址”是其他机器的IP地址,而免费ARP的请求报文,其ARP封装内的“目的IP地址”是其自己的IP地址。免费ARP的封装格式如下图所示:
免费ARP报文的封装格式图示
免费ARP在实际环境中的一些应用
免费ARP主要用于检测IP地址冲突。当一台主机发送了免费ARP请求报文后,如果收到了ARP响应报文,则说明网络内已经存在使用该IP 的主机。
在实际的工作环境中,免费ARP除了用于检测地址冲突之外,我们还可以用于以下几个方面:
1,利用免费ARP确认设备接口地址
一般的设备在网卡地址加载阶段都会向网络中发送免费的ARP报文(也有些安全设备为了安全起见,让设备在加载地址期间不向外发送免费ARP报文),当我们想知道某些设备的接口地址但又没有相应记录可查时,我们就可以利用设备的这种特性,抓取其免费ARP报文,从而分析出其接口使用的IP地址。这个方法曾数次在用户处使用,效率很高,效果非常明显。
2,使用免费ARP报文,更新某些设备的ARP表项
在《TCP/IP详解卷1》的第四章中,有讲到使用免费ARP报文,更新其他主机设备的ARP表项的应用,在我们的工作环境中最常见的应用可能是网关设备双机热备的应用场景,网关在双机热备的工作模式下,由主设备切换到备用设备时,与之相连的设备的ARP表项需要由以前主设备的MAC地址更新为现在主设备(切换前的从设备)的MAC地址,这时,一般从设备在切换为主设备时,就利用向网络中发送免费ARP请求报文, 达到让其他设备更新ARP表项的效果。下面这个图示说明了这个切换的过程:
双机热备模式下主从设备切换利用免费ARP的过程
3,利用免费ARP的攻击
在实际环境中,如果构造网关地址的免费ARP报文,并将ARP的源MAC地址设为任何非网关的MAC地址,再把构造的这个虚假的网关免费ARP报文向网络中发送,那么所有接收到这个免费ARP报文的主机都会更新自己的ARP表项中网关地址对应的MAC地址,导致这些主机的数据报文全部会被转发到错误的MAC地址上,从而实现了ARP欺骗的攻击。
4,网关设备利用免费ARP防止ARP攻击
有些网关设备为了防止内部中毒机器对内部其他机器实施网关的ARP欺骗攻击,其会在一定的时间间隔内向网络中主动发送免费ARP报文,让网络内的主机更新ARP表项中的网关MAC地址信息,从而达到防止或缓解ARP攻击的效果。
标签: 地址冲突 ARP 免费ARP ARP攻击 ARP欺骗 gratuitousARP
ARP表的更新和老化
作者:易隐者 发布于:2012-9-14 22:22 Friday 分类:网络分析
ARP表的更新的条件
在实际的环境中,只有同时满足以下两个条件时,设备的ARP表项才会更新:
1,设备收到来自某IP的ARP请求包或免费ARP包;
2,设备的现有ARP表项中已经存在该IP对应的ARP表项。
其他的非ARP报文不会对设备的ARP表项产生影响。
ARP表的老化时间
不同的系统对ARP表的老化时间设定不太一样,在Windows2000/XP环境中,ARP表项的老化时间是2分钟,95/98以及NT环境下为10分钟,在大部分Cisco交换机中,该值是5分钟,华为的设备一般为20分钟……这些值可以通过系统注册表或设备的某些命令进行设置,具体设置的命令和参数请自行参考相关文档。
ARP表老化时间定时器的重置
满足以下任一条件时,设备的ARP表项的老化时间定时器会重置:
1,设备相应的ARP表项更新时;
2.,设备调用(引用)ARP表项转发数据后。
如果ARP更新存在问题我们如何解决?
在实际的环境中,经常遇到某些设备的ARP表项更新速度非常慢,甚至ARP学习存在问题,从而导致我们的网络连接出现异常,我们如何解决?
解决的方式就是在ARP表学习或更新出现异常的时候,在该设备上手动静态绑定ARP表项。
标签: ARP 免费ARP ARP表 ARP表更新 ARP表老化 ARP老化时间 ARP绑定
第三方延时
作者:易隐者 发布于:2012-9-14 16:46 Friday 分类:网络分析
在实际的网络应用中,有一些应用需要第三方服务器的配合或者从第三方服务器调用相关的数据,在这种业务应用交互的过程中,就存在端系统与第三方服务器交互的延时,这种延时我们称之为第三方延时。以我们最常见的互联网WEB访问过程为例,在访问真正的web应用之前,首先要向第三方的DNS服务器请求解析域名,这个解析的过程可能产生较大的延时,从而导致我们打开web页面很慢。下图为一个访问互联网域名的数据交互流图:
访问互联网域名的交互数据流图(wireshark)
在上面的图示中,我们可以看到,客户端与第三方DNS服务器交互花费了0.046秒的时间,也就是产生了0.046秒的第三方延时。
除了DNS解析之外,实际环境中,还有很多应用可能需要跟第三方服务存在关联,比如某些业务交互前的认证、业务数据通过数据库的存取等。需要结合具体的应用数据交互流量做具体的分析,在此不做进一步的介绍。
-
QQ邮箱订阅
-
搜索
日历
最新日志
链接
分类
最新碎语
- 如果一个人想要做一件真正忠于自己内心的事情,那么往往只能一个人独自去做"——理查德·耶茨
2019-06-25 21:34
- 日后我们知道,真正的人生道路是由内心决定的。不论我们的道路看上去如此曲折、如此荒谬地背离我们的愿望,它终归还是把我们引到我们看不见的目的地。(茨威格《昨日世界》)
2019-03-16 21:27
- 如果你渴望得到某样东西,你得让它自由,如果它回到你身边,它就是属于你的,如果它不会回来,你就从未拥有过它。——大仲马《基督山伯爵》
2018-10-09 22:07
- 人生有两大悲剧:一个是没有得到你心爱的东西;另一个是得到了你心爱的东西。人生有两大快乐:一个是没有得到你心爱的东西,于是可以寻求和创造;另一个是得到了你心爱的东西,于是可以去品味和体验。——弗洛伊德
2018-09-25 18:06
- 一个人越有思想,发现有个性的人就越多。普通人是看不出人与人之间的差别的——布莱兹·帕斯卡尔
2018-08-30 18:44
存档
- 2020年11月(2)
- 2018年1月(1)
- 2017年12月(1)
- 2017年11月(6)
- 2017年6月(1)
- 2017年5月(1)
- 2017年4月(1)
- 2017年3月(1)
- 2016年11月(1)
- 2016年4月(1)
- 2015年7月(2)
- 2015年6月(1)
- 2015年5月(5)
- 2014年12月(1)
- 2014年11月(1)
- 2014年10月(1)
- 2014年8月(1)
- 2014年7月(1)
- 2014年6月(1)
- 2014年5月(1)
- 2014年4月(3)
- 2014年2月(2)
- 2014年1月(2)
- 2013年12月(1)
- 2013年11月(1)
- 2013年10月(2)
- 2013年9月(1)
- 2013年8月(1)
- 2013年7月(3)
- 2013年6月(2)
- 2013年5月(1)
- 2013年4月(3)
- 2013年3月(1)
- 2013年2月(2)
- 2013年1月(2)
- 2012年12月(11)
- 2012年11月(12)
- 2012年10月(12)
- 2012年9月(26)
- 2012年8月(29)
- 2012年7月(18)
- 2012年6月(2)
- 2012年5月(25)
- 2012年4月(16)
- 2012年3月(13)
- 2012年2月(6)
标签
blogger
