啥是ARP?啥又是Proxy ARP?

ARP是用来将 IP 地址解析为 MAC 地址的协议。 ARP 表项可以分为动态和静态两种类型。动态 ARP ,是利用 ARP 广播报文,
动态执行并自动进行 IP 地址到以太网 MAC 地址的解析,无需网络管理员手工处理。静态 ARP 是建立 lP 地址和 MAC 地址之间固定的映射关系,
在主机和路由器上不能动态调整此映射关系,需要网络管理员手工添加。设备上有一个 ARP 高速缓存( ARP cache ) ,
用来存放 lP 地址到 MAC 地址的映射表,利用 ARP 请求和应答报文来缓存映射表,以便能正确地把三层数据包封装成二层数据帧,
达到快速封装数据帧、正确转发数据的目的。另外 ARP 还有扩展应用功能,比如 ProxyA 即功能。 Proxy ARP ,即代理 ARP ,
当主机上没有配置默认网关地址(即不知道如何到达本地网络的网关设备),可以发送一个广播 ARP 请求(请求目的主机的 MAC 地址),
使具备 Proxy ARP 功能的路由器收到这样的请求后,在确认请求地址可达后,会使用自身的 MAC 地址作为该 ARP 请求的回应,
使得处于不同物理网络的同一网段的主机之间可以正常通信。

接下来开始实验本实验模拟公司网络场景。路由器 R1 是公司的出口网关,连接到外网。公司内所有员工使用 10 . 1 . 0 . 0 / 16 网段, 通过交换机连接到网关路由器上。网络管理员通过配置静态 A 即防止 ARP 欺骗攻击,保证通信安全。 又由于公司内所有主机都没有配置网关,且分属于不同广播域,造成无法正常通信,网络管理员需要通过在路由器上配置 A 即代理功能,实现网络内所有主机的通信。

实验拓扑图

在ensp上的ARP及Proxy ARP-LMLPHP

实验配置

在ensp上的ARP及Proxy ARP-LMLPHP

接下来我们看一下主机的ARP表,目前这个表是空的

在ensp上的ARP及Proxy ARP-LMLPHP

我们再来看一下路由器的表,表里装了刚才我们设置的两个网关端口

在ensp上的ARP及Proxy ARP-LMLPHP

测试连通性,都测一下

在ensp上的ARP及Proxy ARP-LMLPHP

刚开始,路由器的ARP表中并没有目标IP地址与目标MAC地址的对应表项,但当ping完之后就会有了,我们再查看一下路由表

在ensp上的ARP及Proxy ARP-LMLPHP

下面我们模拟一下当发生ARP攻击时,我们该如何操作(ARP攻击是攻击者向网关发送错误的ARP报文导致正常的主机无法使用服务)

我们使用命令在路由器上静态添加一条关于PC1的错误的ARP映射。(模拟黑客攻击)

在ensp上的ARP及Proxy ARP-LMLPHP

我们再看一下路由表已经变了

在ensp上的ARP及Proxy ARP-LMLPHP

我们看看这个时候pc1还能不能ping通网关了(这个时候我们已经ping不通网关了)

在ensp上的ARP及Proxy ARP-LMLPHP

因为ARP映射了错误的物理地址,我们来抓一下包,可以看到,当pc1发送ping请求时,回去的包,网关发送到了错误的地方

在ensp上的ARP及Proxy ARP-LMLPHP

ARP攻击不仅会影响我们网关ARP表的正确性,还会感染其他路由的ARP表,那我们该如何应对这种攻击手段?

我们可以在路由器上设置静态ARP表,如果ip和一个MAC地址的静态映射已经出现在ARP表中,此时动态ARP方式雪莱的映射则无法进入ARP表中

删除掉错误的

在ensp上的ARP及Proxy ARP-LMLPHP

绑定正确的

在ensp上的ARP及Proxy ARP-LMLPHP

我们在测试一下连通性,连通性恢复正常

在ensp上的ARP及Proxy ARP-LMLPHP

当然这种方法的优点是操作简单,但是它的缺点是必须使网络中的设备都在ARP表中,工作量太大,那我们该怎么办呢?

静态ARP不行,Proxy ARP(ARP代理)便出现了

还拿公司举例子,目前公司的网络被路由器R1分割成两个独立的广播域,每个路由器接口对应一个IP网络,分别使10.1.1.0/24和10.1.2.0/24

我们来查看一下R1的路由表

在ensp上的ARP及Proxy ARP-LMLPHP

我们可以拿pc2pingpc3

在ensp上的ARP及Proxy ARP-LMLPHP

ping不通,那我们抓个包来看一看,可以看到,pc2发的是广播包,可是广播包是过不了路由器的

在ensp上的ARP及Proxy ARP-LMLPHP

但是我们如果给R1开启ARP代理呢?我们来开启ARP代理

在ensp上的ARP及Proxy ARP-LMLPHP

我们再来用pc2ping一下pc3,抓一下包观察

在ensp上的ARP及Proxy ARP-LMLPHP

我们看一下PC2中arp存的是谁的地址

在ensp上的ARP及Proxy ARP-LMLPHP

但是这却与实际是不相符的,它存下的是网关10.1.1.254的mac地址

在ensp上的ARP及Proxy ARP-LMLPHP

同时我发现pc2能ping通pc3,pc3却ping不通pc2

在ensp上的ARP及Proxy ARP-LMLPHP

因为,开启ARP代理后,访问过程是这样的。R1接口收到pc2的ARP广播请求,R1根据目标IP地址查看自身路由表中是否有对应的网络,找到

对应的网络,所以R1直接把自身的GE0/0/1接口的mac地址返回给了PC2,PC2便使用接收到的MAC地址作为目标地址发送给R1,R1收到后再

转发给PC3,同理PC3要想也访问PC2,也需要在R1的GE0/0/2接口上开启ARP代理服务。

在ensp上的ARP及Proxy ARP-LMLPHP

这个时候PC3已经能够ping通PC2了

在ensp上的ARP及Proxy ARP-LMLPHP

记得save

05-19 07:51