欢迎关注:1,欢迎关注本博客,你可点击右手边的【QQ邮件订阅】订阅本博客!2,本博客推出江湖救急计划,主要为工作中遇到疑难杂症的兄弟提供远程技术支持和分析,如有需要,请在江湖救急计划页面给我留言!

免费ARP(gratuitousARP)

作者:易隐者 发布于:2012-9-15 17:26 Saturday 分类:网络分析

 免费ARP的格式

       免费ARP报文与普通ARP请求报文的区别在于普通的ARP请求报文,其ARP封装内的“目的IP地址”是其他机器的IP地址,而免费ARP的请求报文,其ARP封装内的“目的IP地址”是其自己的IP地址。免费ARP的封装格式如下图所示: 

点击查看原图

免费ARP报文的封装格式图示

免费ARP在实际环境中的一些应用

       免费ARP主要用于检测IP地址冲突。当一台主机发送了免费ARP请求报文后,如果收到了ARP响应报文,则说明网络内已经存在使用该IP 的主机。

       在实际的工作环境中,免费ARP除了用于检测地址冲突之外,我们还可以用于以下几个方面:

1,利用免费ARP确认设备接口地址

       一般的设备在网卡地址加载阶段都会向网络中发送免费的ARP报文(也有些安全设备为了安全起见,让设备在加载地址期间不向外发送免费ARP报文),当我们想知道某些设备的接口地址但又没有相应记录可查时,我们就可以利用设备的这种特性,抓取其免费ARP报文,从而分析出其接口使用的IP地址。这个方法曾数次在用户处使用,效率很高,效果非常明显。

2,使用免费ARP报文,更新某些设备的ARP表项

       在《TCP/IP详解卷1》的第四章中,有讲到使用免费ARP报文,更新其他主机设备的ARP表项的应用,在我们的工作环境中最常见的应用可能是网关设备双机热备的应用场景,网关在双机热备的工作模式下,由主设备切换到备用设备时,与之相连的设备的ARP表项需要由以前主设备的MAC地址更新为现在主设备(切换前的从设备)的MAC地址,这时,一般从设备在切换为主设备时,就利用向网络中发送免费ARP请求报文, 达到让其他设备更新ARP表项的效果。下面这个图示说明了这个切换的过程: 

点击查看原图

 双机热备模式下主从设备切换利用免费ARP的过程

3,利用免费ARP的攻击

       在实际环境中,如果构造网关地址的免费ARP报文,并将ARP的源MAC地址设为任何非网关的MAC地址,再把构造的这个虚假的网关免费ARP报文向网络中发送,那么所有接收到这个免费ARP报文的主机都会更新自己的ARP表项中网关地址对应的MAC地址,导致这些主机的数据报文全部会被转发到错误的MAC地址上,从而实现了ARP欺骗的攻击。

4,网关设备利用免费ARP防止ARP攻击

       有些网关设备为了防止内部中毒机器对内部其他机器实施网关的ARP欺骗攻击,其会在一定的时间间隔内向网络中主动发送免费ARP报文,让网络内的主机更新ARP表项中的网关MAC地址信息,从而达到防止或缓解ARP攻击的效果。

阅读全文>>

标签: 地址冲突 ARP 免费ARP ARP攻击 ARP欺骗 gratuitousARP

评论(0) 引用(0) 浏览(23063)

我的CSNA认证专家文档-某地税网上申报业务系统故障分析报告

作者:易隐者 发布于:2012-7-6 9:34 Friday 分类:案例讨论

       虽然我个人一直认为证书对于自己的真实水平没有什么意义,但是想到我搞网络分析这些年,做科来做了这些年,连我带的徒弟10年初都已经拿到CSNA认证专家证书了,自己却没拿个分析专家证书,一时冲动,直接想飞到成都参加科来的培训拿下证书,还好高总让直接发个分析文档,鉴定一下,就通过了,在此感谢科来高总的信任,顺便把我的分析案例在此共享!

故障环境
1 网络拓扑
       故障环境大体的网络拓扑如下图所示:
 

点击查看原图

       说明:
1,网上申报服务器的地址是192.168.1.1,经过网闸后转换为X.X.16.73;
2,前置机的IP地址为X.X.16.56,征管服务器的IP地址为X.X.16.200。

阅读全文>>

标签: 地址冲突 reset ARP

评论(2) 引用(0) 浏览(9528)

Powered by 易隐者 基于emlog 皖ICP备12002343号-1