ARP
ARP 是什么?
ARPRFC 826 定义的链路层协议,用于将 IPv4 地址映射为同一广播域中主机的 MAC 地址,以便交换机能够投递帧。
地址解析协议(ARP)由 RFC 826 定义,运行在链路层与网络层的交界处。当主机需要把 IPv4 数据包发往同一子网中的目的地时,它会以广播方式发送 ARP 请求(谁拥有 192.168.1.1?),目标主机以 MAC 地址回应。该映射会缓存在 ARP 表中以加速后续帧发送。ARP 没有身份验证,所以同网段中的任何主机都可以回答,甚至主动发送未请求的(gratuitous)应答。这就为 ARP 欺骗或 ARP 投毒提供了条件:攻击者将流量重定向到自己进行监听或篡改。IPv6 用 Neighbor Discovery(ICMPv6,RFC 4861)取代 ARP,并支持 SEND 提供加密保护。
● 示例
- 01
Wireshark 在主机启动时会显示 ARP 请求与应答,主机借此学习默认网关的 MAC 地址。
- 02
攻击者发送声称拥有网关 IP 的 gratuitous ARP 回应,将局域网流量重定向到自己。
● 常见问题
ARP 是什么?
RFC 826 定义的链路层协议,用于将 IPv4 地址映射为同一广播域中主机的 MAC 地址,以便交换机能够投递帧。 它属于网络安全的 网络安全 分类。
ARP 是什么意思?
RFC 826 定义的链路层协议,用于将 IPv4 地址映射为同一广播域中主机的 MAC 地址,以便交换机能够投递帧。
ARP 是如何工作的?
地址解析协议(ARP)由 RFC 826 定义,运行在链路层与网络层的交界处。当主机需要把 IPv4 数据包发往同一子网中的目的地时,它会以广播方式发送 ARP 请求(谁拥有 192.168.1.1?),目标主机以 MAC 地址回应。该映射会缓存在 ARP 表中以加速后续帧发送。ARP 没有身份验证,所以同网段中的任何主机都可以回答,甚至主动发送未请求的(gratuitous)应答。这就为 ARP 欺骗或 ARP 投毒提供了条件:攻击者将流量重定向到自己进行监听或篡改。IPv6 用 Neighbor Discovery(ICMPv6,RFC 4861)取代 ARP,并支持 SEND 提供加密保护。
如何防御 ARP?
针对 ARP 的防御通常结合技术控制与运营实践,详见上方完整定义。
ARP 还有哪些其他名称?
常见的别称包括: 地址解析协议。
● 相关术语
- attacks№ 062
ARP 欺骗
在本地网络中发送伪造 ARP 消息,将攻击者的 MAC 地址与他人 IP 绑定,从而将流量导向攻击者的攻击。
- network-security№ 637
MAC 地址
IEEE 802 标准定义的 48 位硬件标识符,固化在网卡中,用于同一数据链路层段内的帧投递。
- network-security№ 553
IP 地址
分配给网络接口、用于在 IP 网络中进行路由的数字标识符:IPv4(RFC 791)为 32 位,IPv6(RFC 8200)为 128 位。
- network-security№ 1113
子网
共享相同前缀的一段连续 IP 地址范围,定义了网络中的一个广播域和路由边界。
- network-security№ 1206
VLAN
虚拟局域网(IEEE 802.1Q)通过在以太网帧中插入 12 位 VLAN ID,将交换机端口划分为彼此独立的广播域。
- network-security№ 508
ICMP
由 RFC 792(IPv4)和 RFC 4443(IPv6)定义的网络层控制与诊断协议,供主机和路由器报告错误并反馈路径状态。
● 参见
- № 311DHCP