網(wǎng)絡(luò)基礎(chǔ)知識（2）====對（1）的補(bǔ)充

封裝和解封裝

封裝：

解封裝：

一個(gè)重要的協(xié)議arp

   我們知道，當(dāng)我們在瀏覽器里面輸入網(wǎng)址時(shí)，DNS服務(wù)器會(huì)自動(dòng)把它解析為IP地址，瀏覽器實(shí)際上查找的是IP地址而不是網(wǎng)址。那么IP地址是如何轉(zhuǎn)換為第二層物理地址（即MAC地址）的呢？在局域網(wǎng)中，這是通過ARP協(xié)議來完成的。ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。所以網(wǎng)管們應(yīng)深入理解ARP協(xié)議

什么是arp? arp 是哪一層的協(xié)議？arp 的作用？什么是arp ***？什么是arp 欺騙？

arp :地址解析協(xié)議，在網(wǎng)絡(luò)層。

作用：將ip地址解析成mac地址

我們以主機(jī)A（192.168.1.5）向主機(jī)B（192.168.1.1）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應(yīng)的IP地址，主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問：“192.168.1.1的MAC地址是什么？”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問，只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出這樣的回應(yīng)：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。這樣，主機(jī)A就知道了主機(jī)B的MAC地址，它就可以向主機(jī)B發(fā)送信息了。同時(shí)它還更新了自己的ARP緩存表，下次再向主機(jī)B發(fā)送信息時(shí)，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機(jī)制，在一段時(shí)間內(nèi)如果表中的某一行沒有使用，就會(huì)被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度

arp作用的實(shí)現(xiàn)主要依賴于arp緩存表，那么arp 緩存表在哪呢？

arp -a 查看主機(jī)的arp 緩存表

用“arp -d”命令可以刪除ARP表中所有的內(nèi)容； 

  用“arp -d +空格+ <指定ip地址>” 可以刪除指定ip所在行的內(nèi)容   用“arp -s”可以手動(dòng)在ARP表中指定IP地址與MAC地址的對應(yīng)，類型為static(靜態(tài))，此項(xiàng)存在硬盤中，而不是緩存表，計(jì)算機(jī)重新啟動(dòng)后仍然存在，且遵循靜態(tài)優(yōu)于動(dòng)態(tài)的原則，所以這個(gè)設(shè)置不對，可能導(dǎo)致無法上網(wǎng)

arp的緩存表是存儲在網(wǎng)絡(luò)設(shè)備或者計(jì)算機(jī)的內(nèi)存中的

arp 緩存表中主要存著ip地址與mac 地址的對應(yīng)關(guān)系，每臺裝有TCP/IP協(xié)議的主機(jī)或路由器都有一個(gè)arp 緩存表，保存本網(wǎng)絡(luò)ip地址和MAC 地址的對應(yīng)關(guān)系。

每臺計(jì)算機(jī)的內(nèi)核都實(shí)現(xiàn)了arp協(xié)議。它是通過一個(gè)高速緩存，把ip映射到對應(yīng)的MAC，緩存時(shí)間300s。

解析過程（在同一網(wǎng)段和不在同一網(wǎng)段）

假設(shè)主機(jī)A和B在，主機(jī)A要向主機(jī)B發(fā)送信息。具體的地址解析過程如下 
(1)        主機(jī)A首先查看自己的ARP表，確定其中是否包含有主機(jī)B對應(yīng)的ARP表項(xiàng)。如果找到了對應(yīng)的MAC地址，則主機(jī)A直接利用ARP表中的MAC地址，對IP數(shù)據(jù)包進(jìn)行幀封裝，并將數(shù)據(jù)包發(fā)送給主機(jī)B。
(2)        如果主機(jī)A在ARP表中找不到對應(yīng)的MAC地址，則將緩存該數(shù)據(jù)報(bào)文，然后以廣播方式發(fā)送一個(gè)ARP請求報(bào)文。ARP請求報(bào)文中的發(fā)送端IP地址和發(fā)送端MAC地址為主機(jī)A的IP地址和MAC地址，目標(biāo)IP地址和目標(biāo)MAC地址為主機(jī)B的IP地址和全0的MAC地址。由于ARP請求報(bào)文以廣播方式發(fā)送，該網(wǎng)段上的所有主機(jī)都可以接收到該請求，但只有被請求的主機(jī)（即主機(jī)B）會(huì)對該請求進(jìn)行處理。
(3)        主機(jī)B比較自己的IP地址和ARP請求報(bào)文中的目標(biāo)IP地址，當(dāng)兩者相同時(shí)進(jìn)行如下處理：將ARP請求報(bào)文中的發(fā)送端（即主機(jī)A）的IP地址和MAC地址存入自己的ARP表中。之后以單播方式發(fā)送ARP響應(yīng)報(bào)文給主機(jī)A，其中包含了自己的MAC地址。
(4)        主機(jī)A收到ARP響應(yīng)報(bào)文后，將主機(jī)B的MAC地址加入到自己的ARP表中以用于后續(xù)報(bào)文的轉(zhuǎn)發(fā)，同時(shí)將IP數(shù)據(jù)包進(jìn)行封裝后發(fā)送出去。
當(dāng)主機(jī)A和主機(jī)B不在時(shí)，主機(jī)A就會(huì)先向網(wǎng)關(guān)發(fā)出ARP請求，ARP請求報(bào)文中的目標(biāo)IP地址為網(wǎng)關(guān)的IP地址。當(dāng)主機(jī)A從收到的響應(yīng)報(bào)文中獲得網(wǎng)關(guān)的MAC地址后，將報(bào)文封裝并發(fā)給網(wǎng)關(guān)。如果網(wǎng)關(guān)沒有主機(jī)B的ARP表項(xiàng)，網(wǎng)關(guān)會(huì)廣播ARP請求，目標(biāo)IP地址為主機(jī)B的IP地址，當(dāng)網(wǎng)關(guān)從收到的響應(yīng)報(bào)文中獲得主機(jī)B的MAC地址后，就可以將報(bào)文發(fā)給主機(jī)B；如果網(wǎng)關(guān)已經(jīng)有主機(jī)B的ARP表項(xiàng)，網(wǎng)關(guān)直接把報(bào)文發(fā)給主機(jī)B。

什么是ARP欺騙? 

     從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。 

     第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。

解決方法

如果計(jì)算機(jī)已經(jīng)有網(wǎng)關(guān)的正確MAC地址，在不能上網(wǎng)只需手工將網(wǎng)關(guān)IP和正確的MAC靜態(tài)地址綁定，即可確保計(jì)算機(jī)不再被欺騙***。 

（1）arp欺騙是通過arp的動(dòng)態(tài)實(shí)時(shí)規(guī)則欺騙內(nèi)網(wǎng)機(jī)器，所以我們把a(bǔ)rp全部設(shè)置為靜態(tài)，可以防止欺騙

  （2） 將網(wǎng)關(guān)與MAC靜態(tài)綁定，實(shí)現(xiàn)雙保險(xiǎn)，可在MS-DOS窗口下運(yùn)行以下命令：    arp －s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC。

什么是arp***？

arp***就是通過偽造ip地址和mac地址實(shí)現(xiàn)arp欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的arp通信使網(wǎng)絡(luò)阻塞，***者只要持續(xù)不斷地發(fā)出偽造arp相應(yīng)包就能更改目標(biāo)主機(jī)arp 緩存中的ip-mac條目，造成網(wǎng)絡(luò)中斷或中間人***。

arp協(xié)議的缺陷？

arp協(xié)議是建立在信任局域網(wǎng)內(nèi)所有節(jié)點(diǎn)的基礎(chǔ)上的，它很高效，但卻不安全。它是無狀態(tài)的協(xié)議，不會(huì)檢查自己是否發(fā)過請求包，也不管是否是合法的應(yīng)答，只要收到目標(biāo)mac是自己的arp reply包或arp廣播包，都會(huì)接受并緩存。這就是為arp欺騙提供了可能，惡意節(jié)點(diǎn)可以發(fā)布虛假的arp報(bào)文從而影響網(wǎng)內(nèi)節(jié)點(diǎn)的通信。