arp协议

方法一：临时关闭ARP协议 echo 1 > /proc/sys/net/ipv4/conf/eth0/arp_ignore echo 2 > /proc/sys/net/ipv4/conf/eth0/arp_announce 方法二：永久关闭ARP协议 net.ipv4.conf.ens33.arp_ignore = 1 net.ipv4.conf.ens33.arp_announce = 2 或： net.ipv4.conf.ens33.arp_ignore = 1 net.ipv4.conf.ens33.arp_announce = 2 net.ipv4.conf.all.arp_ignore = 1 net.ipv4.conf.all.arp_announce = 2 net.ipv4.conf.lo.arp_ignore = 1 net.ipv4.conf.lo.arp_announce = 2 参数说明： arp_ignore 为：1 # - 只回答目标IP地址是访问本网络接口（ens33）的ARP查询请求。 在设置参数的时候将arp_ignore 设置为1，意味着当别人的arp请求过来的时候，如果接收的网卡设备上面没有这个ip，就不做出响应，默认是0，只要这台机器上面任何一个网卡设备上面有这个ip，就响应arp请求，并发送mac地址。 arp_announce 为2

LVS-DR模式 DR模式—直接路由（Direct Routing） 简称DR模式，采用半开放式的网络结构，与TUN模式的结构类似，但各节点并不是分散在各地，而是与调度器位于同一个物理网络 负载调度器与各节点服务器通过本地网络连接，不需要建立专用的IP隧道 LVS-DR数据包流向分析 为了方便进行原理分析，将Client与群集机器放在同一网络中，数据包流经的路线为1-2-3-4 （1）Client向目标VIP发出请求，Director（负载均衡器）接收，此时的IP包头及数据帧头信息为： （2）Director根据负载均衡算法选择RealServer_1，不修改也不封装IP报文，而是将数据帧的MAC地址改为RealServer_1的MAC地址，然后在局域网上发送，IP包头及数据帧头信息如下： （3）RealServer_1收到这个帧，解封装后发现目标IP与本机匹配（ RealServer事先绑定了VIP ），于是处理这个报文，随后重新封装报文，发送到局域网，此时IP包头及数据帧头信息为： （4）Cliebt将收到回复报文，Client人为得到正常的服务，而不会知道哪一台服务器处理的 注意：如果跨网段，那么报文通过路由器经由Internet返回给用户 LVS-DR中的APR问题 在LVS-DR负载均衡集群中，负载均衡器与节点服务器都要配置相同的VIP地址 在局域网中具有相同的IP地址

目的 为了发现IP与MAC的映射。 为什么需要映射？因为在局域网是，这个时候通讯是通过交换机，MAC地址，这个时候就需要对方的MAC而不是IP了。 数据包通过交换进行转发。 简介 因为有多种网络，802.11,TCP/IP等，所有的协议在物理层上面都是相同的，上层的协议不同，这样主机就可以在多种网络上进行传输。 类似 DNS服务器提供的是域名与IP之间的映射关系。 路由表提供的是选路与网络iP之间的映射。 arp表提供的是IP与MAC之间的映射。 注意 arp提供的是动态的映射，是可能会改变的，因此，在同一局域网中，是可能被人通过arp这一特性进行而已攻击。hacker告诉chicken，通过免费arp方式告诉chicken，hacker的电脑是网关，hacker同时告诉路由器自己是chicken,然后所有的收发数据都经过hacker，hacker这个时候就可以查看这些数据，从中找到敏感信息，如密码或者网页cookie等。 使用 使用wireshark会收到免费arp以及arp广播等信息。 如果局域网里的两台计算机无法通信，很可能是因为两者没有存对面的映射，可以通过ping或者是关闭防火墙再ping的形式网络测试，通过ping之后就有了对方的arp映射，后面就可以通讯了。 来源： CSDN 作者： 502203305 链接： https://blog.csdn.net

= 广播与广播域 = 广播：将广播地址做为目的地址的数据帧 广播域：网络中能接收到同一个广播所有节点的集合 MAC地址广播 广播地址为FF-FF-FF-FF-FF-FF IP地址广播 1）255.255.255.255 2）广播IP地址为IP地址网段的广播地址，如192.168.1.255/24 一.ARP协议讲解 1.地址解析协议 2.作用：将IP解析为MAC地址 3.原理： 1）发送ARP广播请求 ARP报文内容:我是10.1.1.1 我的mac：AA 谁是10.1.1.3 你的mac：？ 2）接收ARP单播应答 4. ARP攻击或欺骗的原理是 ： 通过发送伪造虚假的ARP报文（广播或单播），来实现的攻击或欺骗！ 如虚假报文的mac是伪造的不存在的，实现ARP攻击，结果为中断通信/断网！ 如虚假报文的mac是攻击者自身的mac地址，实现ARP欺骗，结果可以监听、窃取、篡改、控制流量，但不中断通信！ 5.ARP协议没有验证机制，所以容易被arp投毒攻击 6.ARP攻击者通过发送虚假伪造的arp报文对受害者进行ARP缓存投毒 7.路由器的工作原理 1）一个帧到达路由，路由器首先检查目标MAC地址是否自己，如果不是则丢弃，如果是则解封装，并将IP包送到路由器内部 2）路由器检查IP包头中的目标IP，并匹配路由表，如果匹配失败，则丢弃，并向源IP回馈错误信息，如匹配成功

简介 用简单的话来定义tcpdump，就是：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支 持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 实用命令实例 默认启动 tcpdump 普通情况下，直接启动 tcpdump 将监视第一个网络接口上所有流过的数据包。 监视指定网络接口的数据包 tcpdump -i eth1 如果不指定网卡，默认tcpdump只会监视第一个网络接口，一般是eth0，下面的例子都没有指定网络接口。　 监视指定主机的数据包 打印所有进入或离开sundown的数据包. tcpdump host sundown 也可以指定ip,例如 截获所有 210.27.48.1 的主机收到的和发出的所有的数据包 tcpdump host 210.27.48.1 打印helios 与 hot 或者与 ace 之间通信的数据包 tcpdump host helios and \( hot or ace \) 截获主机 210.27.48.1 和主机 210.27.48.2 或 210.27.48.3 的通信 tcpdump host 210.27.48.1 and \ (210.27

1、TCP/IP协议栈 四层模型 TCP/IP这个协议遵守一个四层的模型概念：应用层、传输层、互联层和网络接口层。 网络接口层 模型的基层是网络接口层。负责数据帧的发送和接收，帧是独立的网络信息传输单元。网络接口层将帧放在网上，或从网上把帧取下来。 互联层 互联协议将数据包封装成internet数据包并运行必要的路由算法。 这里有四个互联协议： 网际协议IP：负责在主机和网络之间寻址和路由数据包。 地址解析协议ARP：获得同一物理网络中的硬件主机地址。 网际控制消息协议ICMP：发送消息，并报告有关数据包的传送错误。 互联组管理协议IGMP：被IP主机拿来向本地多路广播路由器报告主机组成员。 传输层 传输协议在计算机之间提供通信会话。传输协议的选择根据数据传输方式而定。 两个传输协议： 传输控制协议TCP：为应用程序提供可靠的通信连接。适合于一次传输大批数据的情况。并适用于要求得到响应的应用程序。 用户数据报协议UDP：提供了无连接通信，且不对传送包进行可靠的保证。适合于一次传输小量数据，可靠性则由应用层来负责。 应用层 应用程序通过这一层访问网络。 网络接口技术 IP使用网络设备接口规范NDIS向网络接口层提交帧。IP支持广域网和本地网接口技术。 串行线路协议 TCP/IPG一般通过internet串行线路协议SLIP或点对点协议PPP在串行线上进行数据传送。

目录 1. ARP 概述 2. ARP 协议工作原理 3. ARP 缓存 4. ARP 报文格式 5. 抓包分析 5.1. ARP 请求报文 5.2. ARP 应答报文 6. 免费 ARP 7. ARP 代理 8. ARP 攻击 [参考文献] 1. ARP 概述 地址解析协议 ，即 ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。 它是IPv4中网络层必不可少的协议，不过在IPv6中已不再适用，并被邻居发现协议（NDP）所替代。 主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机 ARP缓存 中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。 地址解析协议是建立在网络中各个主机互相信任的基础上的 ，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。 网络层使用的是 IP 地址

本章我们要讨论的问题是只对 T C P / I P协议簇有意义的I P地址。数据链路如以太网或令牌 环网都有自己的寻址机制（常常为 48 bit地址），这是使用数据链路的任何网络层都必须遵从 的。一个网络如以太网可以同时被不同的网络层使用。例如，一组使用 T C P / I P协议的主机和 另一组使用某种P C网络软件的主机可以共享相同的电缆。 当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据 48 bit的以 太网地址来确定目的接口的。设备驱动程序从不检查 I P数据报中的目的I P地址。 地址解析为这两种不同的地址形式提供映射： 32 bit的I P 地址和数据链路层使用的任何类型的地址 1.一个例子 任何时候我们敲入下面这个形式的命令： % ftp bsdi 都会进行以下这些步骤。这些步骤的序号如图 4 - 2所示。 应用程序FTP客户端调用函数g e t h o s t b y n a m e(3)把主机名（bsdi）转换成32 bit的IP地址。这个函数在D N S（域名系统）中称作解析器，我们将在第1 4章对它进行介绍。这个转换过程或者使用DNS，或者在较小网络中使用一个静态的主机文件（/e t c / h o s t s）。 F T P客户端请求T C P用得到的I P地址建立连接。 T C P发送一个连接请求分段到远端的主机，即用上述 I

2013-08-23 20:00:18 第4章 ARP：地址解析协议 4.1 引言 　　ARP(Address Resolution Protocol，地址解析协议)是获取物理地址的一个TCP/IP协议。物理地址就是我们通常说的MAC地址。当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据48bit的以太网地址来确定目的接口的。设备驱动程序从不检验IP数据报中的目的IP地址。地址解析为这两种不同的地址形式提供映射：32bit的IP地址和数据链路层使用的任何类型的地址。ARP为IP地址到对应的硬件地址之间提供动态映射。我们之所以用动态这个词是因为这个过程是动态完成的，一般应用程序用户或系统管理员不必关心。 　　RARP(Reverse Address Resolution Protocol，反向地址转换协议)是被那些没有磁盘驱动器的系统使用（一般是无盘工作站或X终端），它需要系统管理员进行手工设置。我们在下一章进行讨论。 4.2 一个例子 上图是一个基本完整的通信过程，主要为了解释ARP的工作步骤。书上用 % ftp bsdi 这个命令作为示范，意思是向bsdi主机请求ftp协议链接。工作过程如下： 1. 应用程序FTP客户端调用函数gethostbyname(3)把主机名(bsdi)转换成32bit的IP地址。这个函数在DNS（域名系统）中称作解析器

以下内容摘自笔者最新年度巨作，广受好评的—— 《深入理解计算机网络 》 书中。本书详细内容及读者评价可从这里了解： http://item.jd.com/11165825.html http://product.dangdang.com/23166396.html 另外，笔者最新的 网络设备四大金刚 在 京东网、当当网、卓越网、互动出版网 等全面热销中，详情点击： http://item.jd.com/11299332.html ， http://book.dangdang.com/20130730_aife （ 购买此套装直减30元 ） 三层交换原理一直是许多读者朋友最难理解的，在日常的读者交流中也经常见到有读者提出这方面的问题，特别是三层交换与路由原理方面的区别与联系。其实三层交换机不仅同时与二层交换和路由有着密切的联系，同时与要依靠三层的ARP协议。下面具体剖析一下三层交换原理。 7.7.5 三层交换原理 二层交换机的二层数据交换一般都是使用 ASIC （ Application Specific Integrated Circuit ，专用集成电路）的硬件芯片中的 CAM 表来实现的，因为是硬件转发，所以转发性能非常高。而三层交换机的三层转发也是依靠ASIC芯片完成的（路由器的路由功能主要依靠CPU软件进行的），但其中除了二层交换用的 CAM 表外