|
转自:CSNA网络分析论坛
关键字:ARP 故障排查 1. 网络现象 最近网络中有主机频繁断线,刚刚开始还比较正常,但是一段时间后就出现断线 情况,有时很快恢复,但是有时要长达好几分钟啊,这样对工作影响太大了。最 初怀疑是否是物理上的错误,总之从最容易下手的东西开始检查,检查完毕后没 有发现异常!突然想到目前网上比较流行的ARP攻击,ARP攻击出现的故障情况与 此非常之相似!对于ARP攻击,一般常规办法是很难找出和判断的,需要抓包分 析。
2. 原理知识 在解决问题之前,我们先了解下ARP的相关原理知识。 ARP原理
首先,每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP列表,以 表示IP地址和MAC地址的对应关系。
当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是 否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址 ;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的 MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的 IP地址。
网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的 IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的 MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息, 则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查 找的MAC地址;
源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到 自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP 响应数据包,表示ARP查询失败。 详细内容可见以下地址..
http://www.csna.cn/viewthread.php?tid=821&extra=page%3D1
| 
转播
分享
淘帖
分享到新浪微博
