電子郵件係統 ARP

{

\"code\": 200,

\"title\": \"\",

\"content\": \"ARP，即地址解析協議，實現通過IP地址得知其實體地址。在TCP\\/IP網絡環境下，每個主機都分配了一個32位的IP地址，這種互聯網地址是在網際範圍標識主機的一種邏輯地址。為了讓報文在物理網路上傳送，必須知道對方目的主機的實體地址。這樣就存在把IP地址變換成實體地址的地址轉換問題。以以太網環境為例，為了正確地向目的主機傳送報文，必須把目的主機的32位IP地址轉換成為48位以太網的地址。這就需要在互連層有一組服務將IP地址轉換為相應實體地址，這組協議就是ARP協議。另有電子防翻滾係統也稱為ARP。\\n\\n在以太網協議中規定，同一局域網中的一台主機要和另一台主機進行直接通訊，必須要知道目標主機的MAC地址。而在TCP\\/IP協議棧中，網絡層和傳輸層隻關心目標主機的IP地址。這就導致在以太網中使用IP協議時，數據鏈路層的以太網協議接到上層IP協議提供的數據中，隻包含目的主機的IP地址。於是需要一種方法，根據目的主機的IP地址，獲得其MAC地址。這就是ARP協議要做的事情。所謂地址解析（addressresolution）就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。\\n\\n另外，當發送主機和目的主機不在同一個局域網中時，即便知道目的主機的MAC地址，兩者也不能直接通訊，必須經過路由轉發纔可以。所以此時，發送主機通過ARP協議獲得的將不是目的主機的真實MAC地址，而是一台可以通往局域網外的路由器的某個的MAC地址。於是此後發送主機發往目的主機的所有幀，都將發往該路由器，通過它向外發送。這種情況稱為ARP代理（ARPProxy）。\\n\\n工作原理\\n\\nARP\\n\\nARP在每檯安裝有TCP\\/IP協議的電腦裡都有一個ARP緩存表，表裡的IP地址\\n\\n與MAC地址是一一對應的。\\n\\nARP工作原理\\n\\nARP工作原理以主機A（192.168.1.5）向主機B\\n\\n（192.168.1.1）發送數據為例。當發送數據時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀裡麵發送就可以了；如果在ARP緩存表中冇有找到目標IP地址，主機A就會在網絡上發送一個廣播，A主機MAC地址是“主機A的MAC地址”，這表示向同一網段內的所有主機發出這樣的詢問：“我是192.168.1.5，我的硬體地址是\\\"主機A的MAC地址\\\".請問IP地址為192.168.1.1的MAC地址是什麼？”網絡上其他主機並不響應ARP詢問，隻有主機B接收到這個幀時，才向主機A做出這樣的迴應：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發送資訊了。同時A和B還同時都更新了自己的ARP緩存表（因為A在詢問的時候把自己的IP和MAC地址一起告訴了B），下次A再向主機B或者B向A發送資訊時，直接從各自的ARP緩存表裡查詢就可以了。ARP緩存表采用了老化機製（即設置了生存時間TTL），在一段時間內（一般15到20分鐘）如果表中的某一行冇有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。\\n\\nARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通訊量使網絡阻塞，攻擊者隻要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。\\n\\nARP攻擊主要是存在於局域網網絡中，局域網中若有一個人感染ARP木馬，則感染該ARP木馬的係統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通訊資訊，並因此造成網內其它計算機的通訊故障。\\n\\nRARP的工作原理：\\n\\n1．發送主機發送一個本地的RARP廣播，在此廣播包中，聲明自己的MAC地址並且請求任何收到此請求的RARP服務器分配一個IP地址；\\n\\n2．本地網段上的RARP服務器收到此請求後，檢查其RARP列表，查詢該MAC地址對應的IP地址；\\n\\n3．如果存在，RARP服務器就給源主機發送一個響應數據包並將此IP地址提供給對方主機使用；\\n\\n4．如果不存在，RARP服務器對此不做任何的響應；\\n\\n5．源主機收到從RARP服務器的響應資訊，就利用得到的IP地址進行通訊；如果一直冇有收到RARP服務器的響應資訊，表示初始化失敗。\\n\\n6．如果在第1-3中被ARP病毒攻擊，則服務器做出的反映就會被占用，源主機同樣得不到RARP服務器的響應資訊，此時並不是服務器冇有響應而是服務器返回的源主機的IP被占用。\\n\\n數據結構\\n\\nARP協議的數據結構：\\n\\ntypedefstructarphdr\\n\\n{\\n\\nunsignedshortarp_hrd;\\/*硬體類型*\\/\\n\\nunsignedshortarp_pro;\\/*協議類型*\\/\\n\\nunsignedchararp_hln;\\/*硬體地址長度*\\/\\n\\nunsignedchararp_pln;\\/*協議地址長度*\\/\\n\\nunsignedshortarp_op;\\/*ARP操作類型*\\/\\n\\nunsignedchararp_sha[6];\\/*發送者的硬體地址*\\/\\n\\nunsignedlongarp_spa;\\/*發送者的協議地址*\\/\\n\\nunsignedchararp_tha[6];\\/*目標的硬體地址*\\/\\n\\nunsignedlongarp_tpa;\\/*目標的協議地址*\\/\\n\\n}ARPHDR,*PARPHDR;\\n\\nRARP反向地址解析協議\\n\\n反向地址解析協議用於一種特殊情況，如果站點被初始化後，隻有自己的物理網絡地址而冇有IP地址，則它可以通過RARP協議，併發出廣播請求，征求自己的IP地址，而RARP服務器則負責回答。這樣無IP的站點可以通過RARP協議取得自己的IP地址，這個地址在下一次係統重新開始以前都有效，不用連續廣播請求。RARP廣泛用於獲取無盤工作站的IP地址。\\n\\nARP緩存表檢視方法\\n\\nARP緩存表是可以檢視的，也可以新增和修改。在命令提示符下，輸入“arp-a”就可以檢視ARP緩存表中的內容了，如附圖所示。\\n\\narp-a\\n\\narp-a用“arp-d”命令可以刪除ARP表中所有的內容；\\n\\n用“arp-d 空格 ”可以刪除指定ip所在行的內容\\n\\n用“arp-s”可以手動在ARP表中指定IP地址與MAC地址的對應，類型為static(靜態)，靜態ARP緩存除非手動清除，否則不會丟失。無論是靜態還是動態ARP緩存，重啟啟動計算機後都會丟失。\\n\\n電子防翻滾係統\\n\\nARP英文全稱是AntiRollingProgram，即電子防翻滾功能。它通過感知車輛的位置，調節發動機扭矩及各車輪的製動力，從而防止車輛在高速急轉彎等緊急狀況時發生翻車狀況。如雪佛蘭科帕奇就標配了此係統。\\n\\nARP欺騙\\n\\n其實，此起彼伏的瞬間掉線或大麵積的斷網大都是ARP欺騙在作怪。ARP欺騙攻擊已經成了破壞網吧經營的罪魁禍首，是網吧老闆和網管員的心腹大患。從影響網絡連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一係列錯誤的內網MAC地址，並按照一定的頻率不斷進行，使真實的地址資訊無法通過更新儲存在路由器中，結果路由器的所有數據隻能發送給錯誤的MAC地址，造成正常PC無法收到資訊。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了”。一般來說，ARP欺騙攻擊的後果非常嚴重，大多數情況下會造成大麵積掉線。有些網管員對此不甚瞭解，出現故障時，認為PC冇有問題，交換機冇掉線的“本事”，電信也不承認寬帶故障。而且如果第一種ARP欺騙發生時，隻要重啟路由器，網絡就能全麵恢複，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。作為網吧路由器的廠家，對防範ARP欺騙不得已做了不少份內、份外的工作。一、在寬帶路由器中把所有PC的IP-MAC輸入到一個靜態表中，這叫路由器IP-MAC綁定。二、力勸網管員在內網所有PC上設置網關的靜態ARP資訊，這叫PC機IP-MAC綁定。一般廠家要求兩個工作都要做，稱其為IP-MAC雙向綁定。顯示和修改“地址解析協議”(ARP)所使用的到以太網的IP或令牌環實體地址翻譯表。該命令隻有在安裝了TCP\\/IP協議之後纔可用。\\n\\narp-a[inet_addr][-N[if_addr]\\n\\narp\\n\\narp-dinet_addr[if_addr]\\n\\narp-sinet_addrether_addr[if_addr]\\n\\n參數\\n\\n-a\\n\\n通過詢問TCP\\/IP顯示當前ARP項。如果指定了inet_addr，則隻顯示指定計算機的IP和實體地址。\\n\\n-g\\n\\n與-a相同。\\n\\ninet_addr\\n\\n以加點的十進製標記指定IP地址。\\n\\n-N\\n\\n顯示由if_addr指定的網絡介麵ARP項。\\n\\nif_addr\\n\\n指定需要修改其地址轉換表介麵的IP地址（如果有的話）。如果不存在，將使用第一個可適用的介麵。\\n\\n-d\\n\\n刪除由inet_addr指定的項。\\n\\n-s\\n\\n在ARP緩存中新增項，將IP地址inet_addr和實體地址ether_addr關聯。實體地址由以連字元分隔的6個十六進製字節給定。使用帶點的十進製標記指定IP地址。項是永久性的，即在超時到期後項自動從緩存刪除。\\n\\nether_addr\\n\\n指定實體地址。\\n\\n遭受ARP攻擊後現象\\n\\nARP欺騙木馬的中毒現象表現為：使用局域網時會突然掉線，過一段時間後又會恢複正常。比如客戶端狀態頻頻變紅，用戶頻繁斷網，IE瀏覽器頻繁出錯，以及一些常用軟件出現故障等。如果局域網中是通過身份認證上網的，會突然出現可認證，但不能上網的現象（無法ping通網關），重啟機器或在MS-DOS視窗下運行命令arp-d後，又可恢覆上網。\\n\\nARP欺騙木馬隻需成功感染一台電腦，就可能導致整個局域網都無法上網，嚴重的甚至可能帶來整個網絡的癱瘓。該木馬發作時除了會導致同一局域網內的其他用戶上網出現時斷時續的現象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網絡遊戲密碼和賬號去做金錢交易，盜竊網上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經濟損失。\\n\\n常用的維護方法\\n\\n搜尋網上，目前對於ARP攻擊防護問題出現最多是綁定IP和MAC和使用ARP防護軟件，也出現了具有ARP防護功能的路由器。下麵來瞭解以下三種方法：靜態綁定、Antiarp和具有ARP防護功能的路由器。\\n\\n靜態綁定\\n\\n最常用的方法就是做IP和MAC靜態綁定，在網內把主機和網關都做IP和MAC綁定。\\n\\n欺騙是通過ARP的動態實時的規則欺騙內網機器，所以我們把ARP全部設置為靜態可以解決對內網PC的欺騙，同時在網關也要進行IP和MAC的靜態綁定，這樣雙向綁定才比較保險。\\n\\n方法：\\n\\n對每台主機進行IP和MAC地址靜態綁定。\\n\\n通過命令，arp-s可以實現“arp–sIPMAC地址”。\\n\\n例如：“arp–s192.168.10.1AA-AA-AA-AA-AA-AA”。\\n\\n如果設置成功會在PC上麵通過執行arp-a可以看到相關的提示：\\n\\nInternetAddressPhysicalAddressType\\n\\n192．168.10.1AA-AA-AA-AA-AA-AAstatic(靜態)\\n\\n一般不綁定,在動態的情況下：\\n\\nInternetAddressPhysicalAddressType\\n\\n192．168.10.1AA-AA-AA-AA-AA-AAdynamic(動態)\\n\\n說明：對於網絡中有很多主機，500台，1000台...，如果我們這樣每一台都去做靜態綁定，工作量是非常大的。，這種靜態綁定，在電腦每次重起後，都必須重新在綁定，雖然也可以做一個批處理檔案，但是還是比較麻煩的！\\n\\n3．2使用ARP防護軟件\\n\\n目前關於ARP類的防護軟件出的比較多了，大家使用比較常用的ARP工具主要是欣向ARP工具，Antiarp等。它們除了本身來檢測出ARP攻擊外，防護的工作原理是一定頻率向網絡廣播正確的ARP資訊。我們還是來簡單說下這兩個小工具。\\n\\n3．2.1欣向ARP工具\\n\\n俺使用了該工具，它有5個功能：\\n\\nA.IP\\/MAC清單\\n\\n選擇網卡。如果是單網卡不需要設置。如果是多網卡需要設置連接內網的那塊網卡。\\n\\nIP\\/MAC掃描。這裡會掃描目前網絡中所有的機器的IP與MAC地址。請在內網運行正常時掃描，因為這個表格將作為對之後ARP的參照。\\n\\n之後的功能都需要這個表格的支援，如果出現提示無法獲取IP或MAC時，就說明這裡的表格裡麵冇有相應的數據。\\n\\nB.ARP欺騙檢測\\n\\n這個功能會一直檢測內網是否有PC冒充表格內的IP。你可以把主要的IP設到檢測表格裡麵，例如，路由器，電影服務器，等需要內網機器訪問的機器IP。\\n\\n(補充)“ARP欺騙記錄”表如何理解：\\n\\n“Time”：發現問題時的時間；\\n\\n“sender”：發送欺騙資訊的IP或MAC；\\n\\n“Repeat”：欺詐資訊發送的次數；\\n\\n“ARPinfo”：是指發送欺騙資訊的具體內容.如下麵例子：\\n\\nARP\\n\\ntimesenderRepeatARPinfo22:22:22192.168.1.221433192.168.1.1isat00:0e:03:22:02:e8\\n\\nARP這條資訊\\n\\n的意思是：在22:22:22的時間，檢測到由192.168.1.22發出的欺騙資訊，已經發送了1433次，他發送的欺騙資訊的內容是：192.168.1.1的MAC地址是00:0e:03:22:02:e8。\\n\\n打開檢測功能，如果出現針對錶內IP的欺騙，會出現提示。可以按照提示查到內網的ARP欺騙的根源。提示一句，任何機器都可以冒充其他機器發送IP與MAC，所以即使提示出某個IP或MAC在發送欺騙資訊，也未必是100%的準確。所有請不要以暴力解決某些問題。\\n\\nC.主動維護\\n\\n這個功能可以直接解決ARP欺騙的掉線問題，但是並不是理想方法。他的原理就在網絡內不停的廣播製定的IP的正確的MAC地址。\\n\\n“製定維護對象”的表格裡麵就是設置需要保護的IP。發包頻率就是每秒發送多少個正確的包給網絡內所有機器。強烈建議儘量少的廣播IP，儘量少的廣播頻率。一般設置1次就可以，如果冇有綁定IP的情況下，出現ARP欺騙，可以設置到50－100次，如果還有掉線可以設置更高，即可以實現快速解決ARP欺騙的問題。但是想真正解決ARP問題，還是請參照上麵綁定方法。arp\\n\\nD.欣向路由器日誌\\n\\n收集欣向路由器的係統日誌，等功能。\\n\\nE.抓包\\n\\n類似於網絡分析軟件的抓包，儲存格式是.cap。\\n\\nAntiarp\\n\\n這個軟件介麵比較簡單，以下為我收集該軟件的使用方法。\\n\\nA.填入網關IP地址，點擊[獲取網關地址]將會顯示出網關的MAC地址。點擊[自動防護]即可保護當前網卡與該網關的通訊不會被第三方監聽。注意：如出現ARP欺騙提示，這說明攻擊者發送了ARP欺騙數據包來獲取網卡的數據包，如果您想追蹤攻擊來源iARPSniffer可以防止此類攻擊。\\n\\nC.您需要知道衝突的MAC地址，Windows會記錄這些錯誤。檢視具體方法如下：\\n\\n右擊[我的電腦]--[管理]--點擊[事件檢視器]--點擊[係統]--檢視來源為[TcpIP]---雙擊事件可以看到顯示地址發生衝突，並記錄了該MAC地址，請複製該MAC地址並填入AntiARPSniffer的本地MAC地址輸入框中(請注意將：轉換為-)，輸入完成之後點擊[防護地址衝突]，為了使MAC地址生效請禁用本地網卡然後再啟用網卡，在CMD命令列中輸入Ipconfig\\/all，檢視當前MAC地址是否與本地MAC地址輸入框中的MAC地址相符，如果更改失敗請與我聯絡。如果成功將不再會顯示地址衝突。\\n\\n注意：如果您想恢複默認MAC地址，請點擊[恢複默認],為了使MAC地址生效請禁用本地網卡然後再啟用網卡。\\n\\n具有ARP防護功能的路由器\\n\\n這類路由器以前聽說的很少，對於這類路由器中提到的ARP防護功能，其實它的原理就是定期的發送自己正確的ARP資訊。但是路由器的這種功能對於真正意義上的攻擊，是不能解決的。\\n\\nARP的最常見的特征就是掉線，一般情況下不需要處理一定時間內可以回覆正常上網，因為ARP欺騙是有老化時間的，過了老化時間就會自動的回覆正常。現在大多數路由器都會在很短時間內不停廣播自己的正確ARP資訊，使受騙的主機回覆正常。但是如果出現攻擊性ARP欺騙(其實就是時間很短的量很大的欺騙ARP，1秒有個幾百上千的)，它是不斷的發起ARP欺騙包來阻止內網機器上網，即使路由器不斷廣播正確的包也會被他大量的錯誤資訊給淹冇。\\n\\n可能你會有疑問：我們也可以發送比欺騙者更多更快正確的ARP資訊啊？如果攻擊者每秒發送1000個ARP欺騙包，那我們就每秒發送1500個正確的ARP資訊！\\n\\n麵對上麵的疑問，我們仔細想想，如果網絡拓撲很大，網絡中接了很多網絡設備和主機，大量的設備都去處理這些廣播資訊，那網絡使用起來好不爽，再說了會影響到我們工作和學習。ARP廣播會造成網絡資源的浪費和占用。如果該網絡出了問題，我們抓包分析，數據包中也會出現很多這類ARP廣播包，對分析也會造成一定的影響。\\n\\n中國科學院資源規劃項目\\n\\nARP項目是實現中國科學院科學的資源規劃的資訊係統工程，ARP即“中國科學院資源規劃項目”（AcademiaResourcePlanning，簡稱：ARP）。\\n\\n“ARP項目是帶有科研活動特殊性質的電子政務，在科研活動管理中綜合運用先進的資訊技術和管理理念，建設符合院發展戰略的新一代管理資訊係統”（江綿恒副院長語），是中國科學院“十五”資訊化建設的重大項目之一，是在知識創新工程試點中進一步推動管理創新、不斷提升管理水平和效率的重大舉措。\\n\\nARP項目從中國科學院院所兩級治理結構出發，以科技計劃與執行管理為核心，綜合運用創新的管理理念和先進的資訊技術，對全院人力、資金、科研基礎條件等資源配置及相關管理流程進行整合與優化，構建有效的管理服務資訊技術平台。\\n\\nARP理念源自於ERP。ERP的基本思想是將企業流程看作是一個緊密連接的供應鏈，其中包括供應商、製造工廠、分銷網絡和客戶等。通過對供應鏈上所有環節進行有效的管理，加速企業的資訊流程，提高反應速度，改善決策品質，提高企業管理效能。ERP係統是整合了企業管理理念、業務流程、基礎數據、人力物力、計算機硬體和軟件於一體的企業資源管理係統。\\n\\nARP借鑒ERP的思想，對中科院的科研管理活動及其相關的各種資源進行綜合管理。ARP基於網絡化的資訊平台，應用成熟、智慧的資訊技術，以科研管理為核心全麵整合、優化貫穿整個科研活動的人力資源、財務、物資、科研項目等的管理流程，為科研管理者提供計劃、運行、監控、決策、檢查評價等綜合服務的支援平台，從而增強資源調控能力和使用效率，合理地配置資源，提高和改善科學研究管理工作的效率和效果，最終充分發揮中科院綜合優勢，提升中科院綜合管理水平和綜合競爭實力。\\n\\n從科技創新活動規律出發，引進現代企業先進的管理理念和方法，建立現代科技創新活動管理體係，正是中國科學院體製和管理創新的目標之一。ARP項目既然是借鑒ERP係統提出來的，就要參照ERP的理念和思路，提升到ARP的角度來考慮，加強頂層設計，明確總體需求，真正做出中國科學院的ARP係統。\\n\\nARP項目的終極目標，就是如何在院內及合作夥伴範圍內利用一切可利用的資源，實現自身價值的最大化。通過ARP項目的實施，進一步推進中國科學院管理創新，不斷提升管理工作水平和效率，促進科技創新和人才培養效益的最大化。\\n\\nARP常見問題\\n\\n1.什麼是ARP\\n\\nARP(AddressResolutionProtocol)是個地址解析協議。最白的說法是：在IP-以太網中，當一個上層協議要發包時，有了節點的IP地址，ARP就能提供該節點的MAC地址。\\n\\n2.為什麼要有ARP？\\n\\nOSI模式把網絡工作分為七層，彼此不直接打交道，隻通過介麵(layerinterface).IP地址在第三層，MAC地址在第二層。協議在發生數據包時，得先封裝第三層（IP地址），第二層（MAC地址）的報頭，但協議隻知道目的節點的IP地址，不知道其地址，又不能跨第二、三層，所以得用ARP的服務。\\n\\n3.什麼是ARPcache\\n\\nARPcache是個用來儲存(IP,MAC)地址的緩衝區。當ARP被詢問一個已知IP地址節點的MAC地址時，先在ARPcache檢視，若存在，就直接返回MAC地址，若不存在，才發送ARPrequest向局域網查詢。\\n\\n4.ARP有什麼命令列？\\n\\n常用的包括：（格式因操作係統、路由器而異，但作用類似）\\n\\n-顯示ARPcache:showarp;arp-a\\n\\n-清除ARPcache:arp-d\\n\\n5.路由器有ARPcache嗎\\n\\n有的。路由器若有介麵連接到局域網，就會有ARPcache。如果路由器的介麵都是點對點的介麵(serialinterface)，就不會有ARPcache。\\n\\n6.路由器怎麼使用ARPcache\\n\\n路由器在轉發數據包到下一站時，得用下一站的MAC地址來封裝鏈路報頭(Linkheader)，它向ARP查詢這個地址。如果ARPcache裡冇有這個地址，路由器的ARP會發送ARPRequest去查詢。\\n\\n7.ARP和Ping有什麼關係？\\n\\nPing是個常用的網絡工具，檢查遠程主機、路由器是否在線。\\n\\n從源主機到目的主機，一路上ping可能被幾個路由器轉發，隻要有一個ARPcache裡冇有下一站的MAC地址，路由器就會把ping丟棄(稱為ARPMiss)。由於ARPMiss而掉包，是個常見的掉包原因。\\n\\nARP協議\\n\\nARP（AddressResolutionProtocol）地址解析協議用於將計算機的網絡地址（IP地址32位）轉化為實體地址（MAC地址48位）[RFC826]。ARP協議是屬於鏈路層的協議，在以太網中的數據幀從一個主機到達網內的另一台主機是根據48位的以太網地址（硬體地址）來確定介麵的，而不是根據32位的IP地址。內核（如驅動）必須知道目的端的硬體地址才能發送數據。當然，點對點的連接是不需要ARP協議的。\\n\\n\"

}