ARP阻断原理分析
 
ARP阻断采用了ARP欺骗方法,阻断计算机利用ARP协议的原理打乱被阻断计算机和网络中其他计算机的IP-MAC地址对应表(ARP),使被阻断计算机无法正常进行网络通信,从而达到阻断的目的。北信源内网安全产品采用的ARP阻断分为以下两种方式:
 
轻量级阻断:
阻断计算机向网络中广播一个ARP请求报文,将被阻断计算机的IP地址及对应的假MAC地址发送给网络内所有的计算机,每台计算机收到请求后便会对本地的ARP缓存进行更新,将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。这样对于网络中的计算机看来,被阻断计算机的IP地址没有变化,而它的MAC地址已经不是原来那个了。由于局域网的网络通信不是根据IP地址进行,而是按照MAC地址进行传输。因此,被阻断计算机便接收不到网络中计算机(不含阻断计算机)传送过来的信息。
 
重量级阻断:
阻断计算机冒充网络中的其他计算机(本网段1-255)给被阻断计算机发送定向ARP应答报文,被阻断计算机收到请求后便会对本地的ARP缓存进行更新,将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。这样对于被阻断计算机看来,网络中的计算机的IP地址没有变化,而它们的MAC地址已经不是原来那个了。因此,被阻断计算机便不能向网络中的计算机(不含阻断计算机)传送信息。
 
附:
ARPAddress Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到BIP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机AIP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有BMAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IPMAC地址存储在ARP缓存中。因此,当局域网中的某台机器BA发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为CIP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来CIP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能PingC!这就是一个简单的ARP欺骗