系统运维

封装和解封装

封装：

解封装：

一个重要的协议arp

   我们知道，当我们在浏览器里面输入网址时，dns服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议

什么是arp? arp 是哪一层的协议？arp 的作用？什么是arp ***？什么是arp 欺骗？

arp :地址解析协议，在网络层。

作用：将ip地址解析成mac地址

我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度

arp作用的实现主要依赖于arp缓存表，那么arp 缓存表在哪呢？

arp -a 查看主机的arp 缓存表

用“arp -d”命令可以删除ARP表中所有的内容； 

  用“arp -d +空格+ <指定ip地址>” 可以删除指定ip所在行的内容   用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应，类型为static(静态)，此项存在硬盘中，而不是缓存表，计算机重新启动后仍然存在，且遵循静态优于动态的原则，所以这个设置不对，可能导致无法上网

arp的缓存表是存储在网络设备或者计算机的内存中的

arp 缓存表中主要存着ip地址与mac 地址的对应关系，每台装有TCP/IP协议的主机或路由器都有一个arp 缓存表，保存本网络ip地址和MAC 地址的对应关系。

每台计算机的内核都实现了arp协议。它是通过一个高速缓存，把ip映射到对应的MAC，缓存时间300s。

解析过程（在同一网段和不在同一网段）

假设主机A和B在，主机A要向主机B发送信息。具体的地址解析过程如下 
(1)        主机A首先查看自己的ARP表，确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址，则主机A直接利用ARP表中的MAC地址，对IP数据包进行帧封装，并将数据包发送给主机B。
(2)        如果主机A在ARP表中找不到对应的MAC地址，则将缓存该数据报文，然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址，目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送，该网段上的所有主机都可以接收到该请求，但只有被请求的主机（即主机B）会对该请求进行处理。
(3)        主机B比较自己的IP地址和ARP请求报文中的目标IP地址，当两者相同时进行如下处理：将ARP请求报文中的发送端（即主机A）的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A，其中包含了自己的MAC地址。
(4)        主机A收到ARP响应报文后，将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发，同时将IP数据包进行封装后发送出去。
当主机A和主机B不在时，主机A就会先向网关发出ARP请求，ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后，将报文封装并发给网关。如果网关没有主机B的ARP表项，网关会广播ARP请求，目标IP地址为主机B的IP地址，当网关从收到的响应报文中获得主机B的MAC地址后，就可以将报文发给主机B；如果网关已经有主机B的ARP表项，网关直接把报文发给主机B。

什么是ARP欺骗? 

     从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 

     第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

解决方法

如果计算机已经有网关的正确MAC地址，在不能上网只需手工将网关IP和正确的MAC静态地址绑定，即可确保计算机不再被欺骗***。 

（1）arp欺骗是通过arp的动态实时规则欺骗内网机器，所以我们把arp全部设置为静态，可以防止欺骗

  （2） 将网关与MAC静态绑定，实现双保险，可在MS-DOS窗口下运行以下命令：    arp －s 网关IP 网关MAC。

什么是arp***？

arp***就是通过伪造ip地址和mac地址实现arp欺骗，能够在网络中产生大量的arp通信使网络阻塞，***者只要持续不断地发出伪造arp相应包就能更改目标主机arp 缓存中的ip-mac条目，造成网络中断或中间人***。

arp协议的缺陷？

arp协议是建立在信任局域网内所有节点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管是否是合法的应答，只要收到目标mac是自己的arp reply包或arp广播包，都会接受并缓存。这就是为arp欺骗提供了可能，恶意节点可以发布虚假的arp报文从而影响网内节点的通信。