一台连接到IP/以太网局域网的电脑有两个地址,一个是网卡的地址,叫MAC地址。MAC地址在理论上是全球唯一的,也是不能改变的地址,它存储在它自己的网卡里面。MAC地址是必不可少的,只有这样,才能保证以太网协议来回地传送数据。
不管在它之上用的是什么应用协议,以太网都为它构建数据帧,一个数据帧包括1500个字节。每个数据帧都有一个报头,里面包括源MAC地址和目的MAC地址。
另外一个是IP地址,无论在它之下使用的是什么网络技术,IP都是一个应用层协议。每一台连接到网络的电脑都必须有一个唯一的IP地址以便通信。IP地址是一个虚拟地址,而且是通过软件来进行分配的。
IP和以太网必须一起工作,IP通过构建“IP信息包”来进行通信,这个“IP信息包”和上面提到的“数据帧”类似,但是在结构上有些不同:这些“IP信息包”在没有网络层的情况下是不能传输的,在这们这种情况下,它是通过以太网来发送的。以太网把“IP信息包”分成多个“数据帧”,然后加在以太网的报头上发送到交换机的电缆上。交换机通过把“数据帧”的目的地址与通往MAC地址的内部通道表比较,决定把数据帧从哪个端口发送出去。当一个以太网数据帧构建好以后,它必须由IP信息包来构建。然而,在构建的时候,以太网并不知道目的MAC地址是多少,这就需要它创建一个以太网的报头了。它仅可以利用的信息就是来自信息包头的目的IP地址。给定一个IP目的地址,如何在以太网协议中找到目的MAC地址是有方法可循的。
下面要讲到的ARP——地址解析协议的趋势。
APR通过发送“ARP请求报文”来操作。一个ARP请求报文发出问题:“你的IP地址是X.X.X.X?如果是,那么就把你的MAC地址发给我”,这些分组报文被广播到局域网内的有计算机,甚至交换机上。每台计算机分析ARP的请求,检测是否现已分配了指定IP,然后再发送一个ARP回复,其中包括它的MAC地址。为了使被广播的ARP分组报文的数量减到最少,操作系统里面为ARP回复设有一个Cache缓存。当一台计算机接受到一个ARP回复时,它将用新的IP/MAC协会更新这个ARP缓存内容。因为ARP是一个无鉴别能力的协议,大多数操作系统一旦接受到一个回复信息后,都将更新它们的缓存,不管它们是否发出了真实的请求报文。
ARP地址欺骗法包括构造假的ARP请求报文和回复报文。通过虚假的ARP回复报文,目的计算机将肯定地把数据帧送到计算机A而不是送往计算机B。当这些操作运用得适当的时候,计算机A将不知道怎样进行重定向。用一个假ARP入口来更新目标计算机的ARP缓存的过程就是下面要提到的“中毒”。
交换机通过比较数据帧上的目的MAC地址与一个表,决定哪个数据帧送往哪个端口。这个数据帧表包含了一个端口列表与一个MAC地址附录。这个表格是在交换机接通电源后,通过检测每个端口上第一个数据帧传送的源MAC地址建立起来的。网卡能进入到一个叫做“混合模式”的状态,在这里他们被允许检测指定给MAC地址的数据帧,而不是它自己的数据帧。而在交换网络上这些并不要紧,因为交换路由的数据帧是建立在上面所说的那个表格上的,这就阻止了其他人数据帧的检错。
然而,通过使用ARP地址欺骗,也有一些方法可以实现在交换网络上数据帧的校错。“人在其中”攻击就是其中的一种方法。当MiM运行时,一个恶意的用户将进入他的电脑----在两台目标通信通路之间。检错法然后就可以执行。恶意的电脑将在这两台目标计算机之间转发数据帧,由此他们之间的通信才不会被中断。整个攻击执行过程如下(X代表的是攻击计算机,而T1和T2代表的是两台目标计算机):
以上是一部分介绍,如需要完整的资料或者如不符合您的要求,请联系技术人员qq:242219979咨询
上一篇:WinPcap网络协议分析的设计
下一篇:图书馆集成管理系统毕业论文