【跟唐老師學習云網(wǎng)絡(luò)】 - 第6篇 ARP你在哪

一、ARP命令介紹

首先，ARP作為高攻擊神器，是片攻擊的，一定范圍內(nèi)全殺，而不是單點指向的技能。其攻擊范圍就是子網(wǎng)的大小，同一個子網(wǎng)內(nèi)的所有主機都會收到ARP神器的傷害。正因為ARP報文是廣播的，所以它是ping使者隨身攜帶、開山問路的不二之刷。

其次，ARP神器基本靠一招走遍天下，發(fā)動攻擊前吼一句：“誰是小明，請吱一聲”，然后聲波傳遍當前子網(wǎng)各個角落。其中真實的小明乖乖回答：“我在這”。

二、Ping報文與ARP結(jié)合

當Ping報文擁有了ARP這個探路神器后，想要到達最終的目的地就相當?shù)膃asy了。當他處于一個站點，面對一個新的地盤的時候，先吼一聲ARP大招，就知道一下站出口在哪里了。然后直接跳到下一站，接著再吼一聲ARP找出下一站位置，繼續(xù)跳到下一站。這樣重復N次就到達了最終目的地。

基于上面的邏輯可以看到，在定位網(wǎng)絡(luò)不通的時候，使用上一節(jié)的方法還找不出原因的情況下，可以看看arp報文有沒有到。但是請記住，arp是一段子網(wǎng)一段子網(wǎng)定位的。

ps：一般網(wǎng)絡(luò)安全組是不會禁止arp協(xié)議的，因為它本身是為了查詢mac地址，而mac地址是二層的，是網(wǎng)絡(luò)通信的基礎(chǔ)。

三、ARP報文

抓個arp報文舉例：

#tcpdump -i eth1 -n arp

arp who-has 10.175.10.210 tell 10.175.10.78

arp reply 10.175.10.210 is-at fa:16:3e:bf:1e:e2

這里基本可以看出來，ARP要做的事情就是把IP翻譯為MAC地址。實際上在以太網(wǎng)中，同一個局域網(wǎng)中的兩臺主機要進行通信，必須要知道目標主機的MAC地址。而TCP/IP協(xié)議中，網(wǎng)絡(luò)傳輸只關(guān)心IP地址。所以需要有一種方法將IP地址“翻譯”為MAC地址。這也就是ARP要做的事情了。

四、ARP表

既然已經(jīng)知道了IP與MAC的對應(yīng)關(guān)系，為了避免每次找路都得“翻譯”一次，那就把它記下來。以后要用的時候直接查本地的對應(yīng)表就行了。同時為了保證有效性，緩存的記錄會在一定時間后失效。這就是ARP表。

當然，也可以設(shè)置靜態(tài)ARP表。只是一般我們懶得這么做。

通過以下命令可以查詢當前緩存的arp表：

#arp -a

ps：定位問題一般不會用到arp表，只需要在目的端抓包看看arp報文有沒有到達即可。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔相應(yīng)法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔相應(yīng)法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。