В чем преимущество хранения записей кэша arp в памяти на исходном компьютере

Обновлено: 21.11.2024

ARP (протокол разрешения адресов) – это сетевой протокол, используемый для определения аппаратного (MAC) адреса устройства по IP-адресу. Он используется, когда устройство хочет связаться с каким-либо другим устройством в локальной сети (например, в сети Ethernet, которая требует, чтобы физические адреса были известны перед отправкой пакетов). Отправляющее устройство использует ARP для преобразования IP-адресов в MAC-адреса. Устройство отправляет сообщение запроса ARP, содержащее IP-адрес принимающего устройства. Все устройства в сегменте локальной сети видят это сообщение, но только устройство с таким IP-адресом отвечает ответным сообщением ARP, содержащим его MAC-адрес. Теперь отправляющее устройство имеет достаточно информации для отправки пакета принимающему устройству.

Пакеты запроса ARP отправляются на широковещательные адреса (FF:FF:FF:FF:FF:FF для широковещательной рассылки Ethernet и 255.255.255.255 для широковещательной рассылки IP).

Вот объяснение процесса ARP:

Допустим, что узел A хочет связаться с узлом B. Узел A знает IP-адрес узла B, но не знает MAC-адрес узла B. Чтобы узнать MAC-адрес хоста B, хост A отправляет запрос ARP, перечисляя IP-адрес хоста B в качестве IP-адреса назначения и MAC-адрес FF: FF: FF: FF: FF: FF (Ethernet широковещательная рассылка) . Коммутатор будет пересылать кадр на все интерфейсы (кроме входящего интерфейса). Каждое устройство в сегменте получит пакет, но поскольку IP-адрес назначения является IP-адресом узла B, только узел B ответит ответным пакетом ARP, указав свой MAC-адрес. У хоста A теперь достаточно информации для отправки трафика на хост B.

Все операционные системы поддерживают кэши ARP, которые проверяются перед отправкой сообщения запроса ARP. Каждый раз, когда узлу необходимо отправить пакет другому узлу в локальной сети, он сначала проверяет свой кэш ARP на наличие правильного IP-адреса и соответствующего MAC-адреса. Адреса останутся в кеше на пару минут. Вы можете отобразить записи ARP в Windows с помощью команды arp -a:

Загрузите наше бесплатное учебное пособие CCNA в формате PDF, чтобы получить полные заметки по всем темам экзамена CCNA 200–301 в одной книге.

Мы рекомендуем Cisco CCNA Gold Bootcamp в качестве основного учебного курса CCNA. Это онлайн-курс Cisco с самым высоким рейтингом со средней оценкой 4,8 из более чем 30 000 общедоступных обзоров и золотой стандарт в обучении CCNA:

3.4.3.5 Лабораторная работа — ответы протокола разрешения адресов (ARP)

Лабораторная работа — протокол разрешения адресов (ARP) (версия ответов)

Ответы. Примечание. Красный цвет шрифта или серое выделение обозначают текст, который появляется только в копии ответов.

Топология

Цели

Часть 1. Загрузите и установите Wireshark

Часть 2. Сбор и анализ данных ARP в Wireshark

  • Запуск и остановка сбора данных ping-трафика к удаленным узлам.
  • Найдите информацию об IPv4 и MAC-адресах в захваченных PDU.
  • Анализ содержимого сообщений ARP, которыми обмениваются устройства в локальной сети.

Часть 3. Просмотр записей кэша ARP на ПК

  • Откройте командную строку Windows.
  • Используйте команду Windows arp для просмотра кэша локальной таблицы ARP на ПК.

Предыстория/сценарий

Протокол разрешения адресов (ARP) используется протоколом TCP/IP для сопоставления IPv4-адреса уровня 3 с MAC-адресом уровня 2. Когда кадр Ethernet передается по сети, он должен иметь MAC-адрес назначения. Для динамического обнаружения MAC-адреса известного пункта назначения исходное устройство рассылает запрос ARP в локальной сети. Устройство, для которого настроен IPv4-адрес назначения, отвечает на запрос ответом ARP, и MAC-адрес записывается в кэш ARP.

Каждое устройство в локальной сети поддерживает собственный кэш ARP. Кэш ARP — это небольшая область в оперативной памяти, в которой хранятся ответы ARP. При просмотре кэша ARP на ПК отображаются IPv4-адрес и MAC-адрес каждого устройства в локальной сети, с которым ПК обменивался сообщениями ARP.

Wireshark – это программный анализатор протоколов или приложение для анализа пакетов, используемое для устранения неполадок в сети, анализа, разработки программного обеспечения и протоколов, а также обучения. Когда потоки данных перемещаются по сети туда и обратно, сниффер «захватывает» каждый блок данных протокола (PDU) и может декодировать и анализировать его содержимое в соответствии с соответствующими спецификациями протокола.

Wireshark – это полезный инструмент для всех, кто работает с сетями, и его можно использовать с большинством практических занятий в курсах Cisco по анализу данных и устранению неполадок. В этом лабораторном занятии представлены инструкции по загрузке и установке Wireshark, хотя он может быть уже установлен. В этом практическом занятии вы будете использовать Wireshark для захвата ARP-обменов в локальной сети.

Необходимые ресурсы

  • 1 ПК с Windows 10 и доступом в Интернет.
  • Дополнительные ПК в локальной сети (LAN) будут использоваться для ответа на запросы проверки связи. Если в локальной сети нет дополнительных компьютеров, для ответа на запросы проверки связи будет использоваться адрес шлюза по умолчанию.

Часть 1. Загрузите и установите Wireshark

Wireshark стала стандартной программой для анализа пакетов, используемой сетевыми инженерами. Это программное обеспечение с открытым исходным кодом доступно для многих операционных систем, включая Windows, Mac и Linux.

Если Wireshark уже установлен на вашем компьютере, вы можете пропустить часть 1 и сразу перейти к части 2. Если программа Wireshark не установлена ​​на вашем компьютере, ознакомьтесь со своими ответами о политике загрузки программного обеспечения вашей академии.

Шаг 1. Загрузите Wireshark.

Шаг 2. Установите Wireshark.

  1. Загруженный файл называется Wireshark-win64-x.x.x.exe, где x представляет номер версии. Дважды щелкните файл, чтобы начать процесс установки. В данном примере это версия 2.0.5.
  2. Отвечайте на любые сообщения системы безопасности, которые могут отображаться на вашем экране. Если у вас уже есть копия Wireshark на вашем ПК, вам будет предложено удалить старую версию перед установкой новой версии. Перед установкой другой версии рекомендуется удалить старую версию Wireshark. Нажмите Да, чтобы удалить предыдущую версию Wireshark.
  3. Если вы устанавливаете Wireshark впервые или после завершения процесса удаления, вы перейдете к мастеру установки Wireshark. Нажмите "Далее".
  4. Продолжайте процесс установки. Нажмите «Принимаю», когда появится окно «Лицензионное соглашение».
  5. Оставьте параметры по умолчанию в окне "Выбор компонентов" и нажмите "Далее".
  6. Выберите нужные параметры быстрого доступа и нажмите "Далее".
  7. Вы можете изменить место установки Wireshark, но если у вас мало места на диске, рекомендуется оставить место по умолчанию.
  8. Для захвата сетевых данных в режиме реального времени на вашем ПК должна быть установлена ​​программа WinPcap. Если WinPcap уже установлен на вашем компьютере, флажок «Установить» будет снят. Если ваша установленная версия WinPcap старше версии, поставляемой с Wireshark, рекомендуется разрешить установку более новой версии, установив флажок «Установить WinPcap x.x.x (номер версии)».
    Завершите работу мастера установки WinPcap при установке WinPcap. Примечание. Возможно, вам будет предложено установить USBPcap. Установка USBPcap не является обязательной.
  9. Wireshark начнет установку своих файлов, и отобразится отдельное окно со статусом установки. Нажмите «Далее», когда установка будет завершена.
  10. Нажмите "Готово", чтобы завершить процесс установки Wireshark.
  11. Часть 2. Сбор и анализ локальных данных ARP в Wireshark

    В части 2 этой лабораторной работы вы пропингуете другой компьютер в локальной сети и перехватите запросы и ответы ARP в Wireshark. Вы также заглянете внутрь снятых кадров для получения конкретной информации. Этот анализ должен помочь прояснить, как заголовки пакетов используются для передачи данных к месту назначения.

    Шаг 1. Получите адреса интерфейсов вашего ПК.

    Для этого практического занятия вам потребуется получить IPv4-адрес и MAC-адрес вашего ПК.

    1. Откройте командное окно, введите ipconfig /all и нажмите Enter.
    2. Обратите внимание, какой сетевой адаптер ПК использует для доступа к сети. Запишите IPv4-адрес и MAC-адрес интерфейса вашего ПК (физический адрес).
    3. Спросите у члена команды IPv4-адрес его ПК и дайте ему IPv4-адрес вашего ПК. Пока не сообщайте им свой MAC-адрес.
      Запишите IPv4-адреса шлюза по умолчанию и других компьютеров в локальной сети.
      ____________________________________________________________________________________
      Ответы будут разными. В этом примере шлюз по умолчанию — 192.168.1.1, а IPv4-адрес для этого ПК — 192.168.1.8.
    4. Шаг 2. Запустите Wireshark и начните сбор данных.

      1. На ПК нажмите «Пуск» и введите Wireshark. Нажмите Приложение Wireshark Desktop, когда оно появится в окне результатов поиска.
        Примечание. Кроме того, ваша установка Wireshark может также предоставлять вариант Wireshark Legacy. Это отображает Wireshark в старом, но широко известном графическом интерфейсе. Оставшаяся часть этой лабораторной работы была выполнена с использованием нового графического интерфейса приложения для настольных ПК.
      2. После запуска Wireshark выберите сетевой интерфейс, указанный с помощью команды ipconfig. Введите arp в поле фильтра. Этот выбор настраивает Wireshark для отображения только пакетов, которые являются частью обмена ARP между устройствами в локальной сети.
      3. После того, как вы выбрали правильный интерфейс и ввели информацию о фильтре, нажмите «Пуск» ( ), чтобы начать сбор данных. Информация начнет прокручиваться вниз в верхней части Wireshark. Каждая строка представляет собой сообщение, отправляемое между исходным и целевым устройством в сети.
      4. Откройте окно командной строки. Используйте команду ping, чтобы проверить подключение к адресу шлюза по умолчанию, который вы определили в части 2, шаг 1c.
      5. Проверьте IPv4-адреса других компьютеров в локальной сети, предоставленные вам членами вашей команды.
        Примечание. Если компьютер члена вашей команды не отвечает на ваши запросы, это может быть связано с тем, что брандмауэр их ПК блокирует эти запросы. Если необходимо отключить брандмауэр ПК, обратитесь к ответу за помощью.
      6. Остановите сбор данных, нажав Остановить сбор () на панели инструментов.
      7. Шаг 3. Изучите захваченные данные.

        На шаге 3 изучите данные, созданные запросами проверки связи с компьютера члена вашей команды. Данные Wireshark отображаются в трех разделах:

        1. В верхнем разделе отображается список кадров PDU, захваченных со сводной информацией о перечисленных пакетах IPv4.
        2. В средней части перечислены данные PDU для кадра, выбранного в верхней части экрана, и разделены захваченные кадры PDU по уровням протоколов.
        3. В нижней части отображаются необработанные данные каждого слоя. Необработанные данные отображаются как в шестнадцатеричном, так и в десятичном формате.
          1. Нажмите на один из фреймов ARP в верхней части, где MAC-адрес вашего ПК указан в качестве адреса источника во фрейме, а «трансляция» — в качестве адресата фрейма.
          2. Не снимая выделения с этого кадра PDU в верхней части, перейдите к средней части. Нажмите стрелку слева от строки Ethernet II, чтобы просмотреть MAC-адреса получателя и источника. Соответствует ли MAC-адрес источника интерфейсу вашего ПК?_______________
            Да, он должен совпадать с вашим MAC-адресом.
          3. Нажмите стрелку слева от строки протокола разрешения адресов (запрос), чтобы просмотреть содержимое запроса ARP.
          4. Шаг 4. Найдите кадр ответа ARP, соответствующий выделенному запросу ARP.

            1. Используя целевой IPv4-адрес в запросе ARP, найдите кадр ответа ARP в верхней части экрана захвата Wireshark.
              Каков IPv4-адрес целевого устройства в вашем ARP-запросе? _________________
              Ответы будут разными, но в нашем примере это 192.168.1.9.
            2. Выделите кадр ответа в верхней части выходных данных Wireshark. Возможно, вам придется прокрутить окно, чтобы найти кадр ответа, соответствующий целевому IPv4-адресу, определенному на предыдущем шаге. Разверните строки Ethernet II и Протокол разрешения адресов (ответ) в средней части экрана.
              Является ли кадр ответа ARP широковещательным кадром? ___________________ Нет
              Каков MAC-адрес получателя кадра?
              Ответы будут разными, но MAC-адрес получателя в этом примере будет a4:4e:31:ad:78:4c
              Это MAC-адрес вашего ПК? ______________________ Да.
              Какой MAC-адрес является источником кадра?
              Ответы будут разными, но в нашем примере источником кадра будет 90:4c:e5:be:15:63.
            3. Убедитесь вместе с членом вашей команды, что MAC-адрес совпадает с MAC-адресом его ПК.

            Часть 3. Проверка записей кэша ARP на ПК.

            После того, как ПК получает ответ ARP, сопоставление MAC-адреса с IPv4-адресом сохраняется в кэш-памяти ПК. Эти записи будут оставаться в памяти в течение короткого периода времени (от 15 до 45 секунд), затем, если они не будут использованы в течение этого времени, они будут удалены из кеша.

            Шаг 1. Просмотр записей кэша ARP на ПК с Windows.

            1. Откройте окно командной строки на ПК. В командной строке введите arp –a и нажмите Enter. Вывод команды arp –a отображает записи, которые находятся в кеше на ПК. В примере ПК имеет записи для шлюза по умолчанию (192.168.1.1) и для двух ПК, расположенных в одной локальной сети (192.168.1.9 и 192.168.1.13).
              Каков результат выполнения команды arp –a на вашем ПК?______________________________________________________________________________________________________________________________________________________________________________________
              Ответы будут разными, но команда перечисляет известные привязки MAC-адресов к IPv4-адресам.
            2. Команда arp на ПК с Windows имеет еще одну функциональность. Введите арп /? в командной строке и нажмите Enter. Параметры команды arp позволяют просматривать, добавлять и удалять записи таблицы ARP, если это необходимо. Какой параметр удаляет запись из кэша ARP? _____________________________
              arp -d
              Каков будет результат выдачи arp – д * команда?
              Это приведет к удалению текущих привязок адресов в кэше ARP. Для этой команды требуются права администратора в Windows 10.
            3. Привет!Похоже, у вас отключен JavaScript. Пожалуйста, включите его, чтобы вы могли видеть и взаимодействовать со всем на нашем сайте.

              ARP (протокол разрешения адресов) — это протокол, соединяющий уровни 2 и 3 модели OSI, который в типичном стеке TCP/IP эффективно склеивает уровни Ethernet и Интернет-протокола. Эта важная функция позволяет обнаруживать MAC-адрес устройства (управление доступом к среде) на основе его известного IP-адреса.

              Расширенно, таблица ARP — это просто метод хранения информации, обнаруженной с помощью ARP. Он используется для записи обнаруженных пар MAC- и IP-адресов устройств, подключенных к сети. Каждое устройство, подключенное к сети, имеет собственную таблицу ARP, отвечающую за хранение пар адресов, с которыми связывалось конкретное устройство.

              ARP — критически важный сетевой обмен данными, поэтому пары MAC- и IP-адресов не нужно обнаруживать (и повторно обнаруживать) для каждого отправляемого пакета данных. После того, как пара MAC- и IP-адресов изучена, она хранится в таблице ARP в течение определенного периода времени. Если в таблице ARP нет записи для определенного IP-адреса назначения, ARP потребуется отправить широковещательное сообщение на все устройства в этой конкретной подсети, чтобы определить, каким должен быть MAC-адрес получателя.

              Как работает ARP

              Чтобы полностью понять, как работает таблица ARP, нам нужно начать с краткого объяснения того, что такое MAC- и IP-адреса и как они соотносятся с определенными уровнями модели OSI, а именно уровнем 2, канальным уровнем, и Уровень 3, сетевой уровень.

              IP-адрес – это 32-битный адрес, который назначается (вручную или через другую службу, например DHCP) устройству, когда оно подключено к сети. Он используется на сетевом уровне для связи с устройствами как в локальной сети, так и за ее пределами. Хотя IP-адреса уникальны в локальной сети, они назначаются логически, а не физически, поэтому IP-адрес устройства может меняться со временем. Вот почему необходим ARP!

              Давайте рассмотрим простой пример. Допустим, у вас есть устройство (хост 1), которому необходимо обмениваться данными с другим устройством (хост 2) в той же подсети. Узел 1 будет знать IP-адрес узла 2 (в нашем примере 192.168.0.10), но для прямой связи с узлом 2 узел 1 также должен знать MAC-адрес узла 2.

              Войдите в таблицу ARP. Хост 1 может использовать ARP для обнаружения MAC-адреса хоста 2.

              Поскольку узел 1 точно не знает, где находится узел 2, узел 1 рассылает всем устройствам в локальной подсети запрос ARP с вопросом: «Каков MAC-адрес для IP-адреса узла 2?». Все хосты в сети получат это широковещательное сообщение, и большинство его отклонит — они не являются хостом 2, поэтому им не нужно ничего делать. Однако хост 2 ответит напрямую хосту 1: «Как дела? Мой MAC-адрес: AB:CD:EF:01:23:45».

              Когда узел 1 получает ответ, MAC-адрес узла 2 обновляется в таблице ARP узла 1, чтобы он знал, как связаться с узлом 2 для получения следующего сообщения. Хост 1 теперь может отправить сообщение.

              Как видите, ARP — это необходимый протокол для соединения уровней 2 и 3. Если бы таблица ARP не записывала эти пары адресов, каждый раз, когда устройства отправляли бы пакеты друг другу, им приходилось бы спрашивать: «Какой у вас MAC-адрес». адрес?". Это сильно замедлит сетевое взаимодействие!

              Разница между таблицами ARP и MAC

              Важно понимать разницу между этими двумя таблицами и основные роли, которые они играют.

              Таблица ARP состоит из IP- и MAC-адресов устройств. Таблица ARP создается на основе ответов на запросы ARP, записанных перед отправкой пакета по сети.

              Таблица MAC-адресов, иногда называемая таблицей переадресации MAC-адресов или базой данных переадресации (FDB), содержит информацию о порте физического коммутатора, к которому подключено конкретное устройство. Когда сетевой коммутатор принимает решения о коммутации пакетов, таблица MAC-адресов служит для определения того, через какой порт коммутатора должен быть отправлен пакет.

              Несмотря на то, что эти две таблицы во многом похожи, они служат разным целям. Самое главное, таблицы MAC и ARP работают на разных уровнях модели OSI. Таблицы ARP сопоставляют адрес уровня 3 с конфигурацией адреса уровня 2, а таблицы MAC сопоставляют адрес уровня 2 с интерфейсом уровня 1 (физический уровень).

              Некоторые устройства могут иметь одно, но не другое. Например, устройство, работающее только на уровне 2, такое как коммутатор уровня 2, будет иметь таблицу MAC-адресов, но не будет таблицы ARP — ему не нужно преобразовывать адреса между уровнями 3 и 2.

              В любой момент вы можете просмотреть статус любой из этих таблиц через интерфейс командной строки или графический интерфейс устройства.Инструменты управления сетью, такие как Auvik, также отслеживают содержимое этих таблиц в удобном для использования формате.

              Что содержится в таблице ARP

              Наиболее важными данными в таблице ARP являются пары MAC- и IP-адресов устройств в сети. Он также содержит другую ценную информацию, такую ​​как конкретный интерфейс, к которому подключен MAC-адрес, и как долго запись ARP должна храниться в таблице.

              Давайте разберем компоненты таблицы выше:

              ARP широко используется в IPv4 в сетях, совместимых с Ethernet. Для IP-данных, передаваемых по сетям, построенным на разных протоколах канального уровня, будут определены разные протоколы сопоставления адресов. Например, в сетях IPv6 функциональность таблицы ARP обеспечивается протоколом обнаружения соседей (NDP).

              Как создавать таблицы ARP

              Таблицы ARP часто создаются автоматически с помощью процесса вызова и ответа ARP, который обсуждался ранее. Однако могут быть случаи, когда необходимо вручную внести изменения в таблицу ARP. Убедитесь, что вы понимаете, какое влияние эти изменения окажут на сеть, и убедитесь, что вы следуете правильному процессу добавления или удаления записей вручную, которые могут незначительно отличаться от устройства к устройству.

              Записи ARP можно изменить либо через интерфейс командной строки, либо через графический интерфейс пользователя устройства. Процесс для каждого из них немного отличается, но в целом шаги и информация, необходимые для изменения записей, аналогичны.

              Просмотр таблицы ARP

              То, как вы просматриваете таблицу ARP на своем устройстве, зависит от конкретного типа устройства и операционной системы.

              В большинстве систем *nix (разновидности UNIX и Linux) для доступа к таблице ARP требуется командная строка. Чтобы отобразить таблицу ARP в этой системе, введите «arp -a». Эта команда также покажет таблицу ARP в командной строке Windows.

              Добавление записи ARP

              Чтобы добавить запись в таблицу ARP, выберите параметр «Добавить». Для добавления записи ARP вам потребуется следующая информация:

              • Интерфейс. Указывает, с каким интерфейсом должна быть связана пара IP- и MAC-адресов.
              • MAC-адрес. MAC-адрес устройства, для которого вы хотите добавить запись.
              • IP-адрес. IP-адрес устройства, для которого вы хотите добавить запись.
              • Срок действия: период времени, в течение которого запись должна оставаться в таблице ARP. Для ручных дополнений этот период обычно неограничен. Также может быть возможность просто указать статическую (постоянную) запись.

              Изменение записи ARP

              Могут быть случаи, когда вы хотите внести изменения в таблицу ARP, что вы можете сделать, изменив запись ARP. Вам нужно будет указать, какую запись вы хотите отредактировать. Как правило, вы можете редактировать любые параметры, добавленные вручную.

              Удаление записи ARP

              Одну запись также можно удалить из таблицы ARP, если это необходимо. Чтобы удалить запись ARP в командной строке, большинство систем поддерживают команду, аналогичную «arp -d », для удаления определенной записи.

              Затем вы можете заменить эту запись введенной вручную или подождать, пока запись не будет заполнена следующим запросом ARP.

              Удаление (сброс) всей таблицы ARP

              Поврежденная таблица ARP иногда может вызывать беспокойство и проблемы, поскольку она может помешать устройству обмениваться данными по сети. Хотя это может показаться большой проблемой, очистка кеша ARP не так вредна для устройства — таблица будет просто перестроена с помощью запросов ARP. Если вы подозреваете проблему с ARP, достаточно просто очистить таблицу ARP и восстановить ее.

              Чтобы удалить кэш ARP с помощью параметра командной строки в Windows, вы можете использовать ту же команду «arp -d », что и раньше, но просто указав подстановочный знак «*» для хоста. В качестве альтернативы вы можете использовать «arp -a -d» или команду netsh «netsh interface ip delete arpcache».

              В большинстве вариантов Unix, включая MacOS, вы можете использовать аналогичную команду «arp -a -d», а на многих компьютерах с Linux вы можете использовать IP-утилиту с такой командой, как «ip - s -s ржать все”.

              О Стиве Петрищуке

              В качестве директора по стратегии продуктов Auvik Стив работает с потенциальными клиентами, а также с ИТ-сообществом в целом, чтобы выявлять, исследовать и анализировать сложные проблемы ИТ-операций, помогая направлять дорожную карту Auvik для лучшего обслуживания ИТ-сообщества. Стив имеет степень бакалавра инженерии и менеджмента и является зарегистрированным профессиональным инженером в Онтарио с опытом работы в области ИТ, сетей и ИТ-безопасности, включая управление продуктами, разработку, системного администратора, инженера по решениям и технического инструктора.

              4 комментария на «Что такое ARP-таблица?»

              Что касается сброса кеша ARP, на машинах Unix это «arp -d -a» во всех известных мне вариантах Unix.

              Там, где вы указали *nix, вы должны были указать «Linux», поскольку, насколько мне известно, это единственная Unix-подобная ОС, которая использует это.

              Райан Лафламм говорит:

              Привет, Кевин! Спасибо что подметил это. Мы внесли в статью несколько изменений, чтобы было понятнее, какие команды используются для какой ОС».

              Какие протоколы работают с таблицами ARP?

              Стив Петрищук говорит:

              Привет, Эндрю. ARP сам по себе является протоколом. Почти каждое устройство в сети использует ARP для преобразования IP-адреса уровня 3 в MAC-адрес уровня 2 для конкретного устройства. Вы можете просмотреть таблицы ARP на конкретном устройстве несколькими способами, в зависимости от того, что позволяет устройство, хотя я бы не назвал эти протоколы. Его больше методов доступа. В большинстве случаев доступ к данным будет осуществляться через SNMP. Кроме того, вы можете просмотреть данные через командную строку, например, через SSH или (в Windows) PowerShell. Наконец, некоторые поставщики также сделали данные ARP доступными через API, хотя они не будут представлены в том же формате «Таблица». Надеюсь, это поможет.

              Оставить комментарий Отменить ответ

              Auvik — это простое в использовании
              облачное программное обеспечение для
              сетевого управления и
              мониторинга
              — без проблем.
              Хватит тратить время.

              © Copyright 2013-2022 Auvik Networks Inc. Все права защищены. Auvik является товарным знаком Auvik Networks Inc., зарегистрированным в Соединенных Штатах Америки и некоторых других странах. Все остальные товарные знаки являются собственностью их соответствующих владельцев. Ссылка на них не означает ассоциации или одобрения.

              Этот протокол в основном используется для определения аппаратного (MAC) адреса устройства по IP-адресу. Он также используется, когда одно устройство хочет связаться с другим устройством в локальной сети. Полная форма ARP — протокол разрешения адресов.

              Из этого руководства по работе с сетью вы узнаете:

              Как работает протокол разрешения адресов (ARP)?

              Все ОС в сети IPv4 хранят кэш ARP. Когда узел запрашивает MAC-адрес для отправки пакета другому узлу в локальной сети, он проверяет свой кэш ARP, чтобы убедиться, что преобразование MAC-адреса уже присутствует.

              Давайте разберемся с этой концепцией на примере:

              • Хост P разрешает адрес протокола для хоста U для протокольных сообщений от приложения на P, отправляемых на U.
              • P не разрешает адрес протокола для хоста U.
              • Используя интернет-уровень, хост P доставляет на хост U маршрутизацию через T1 и T2.
              • Хост P разрешает аппаратный адрес T1.
              • Сетевой уровень на хосте P передает пакет, содержащий адрес протокола назначения для U, для доставки на T1
              • T1 доставляет пакет T2, который, в свою очередь, пересылает пакет на узел U.

              Важные термины ARP:

              • Кэш ARP: после разрешения MAC-адреса ARP отправляет его в кэш, хранящийся в таблице, для дальнейшего использования. Последующие сообщения могут использовать MAC-адрес из таблицы.
              • Тайм-аут кэша ARP: это время, в течение которого MAC-адрес может находиться в кэше ARP.
              • Запрос ARP: широковещательная передача пакета по сети для проверки того, нашли ли мы MAC-адрес назначения или нет.
              • Ответ/ответ ARP: ответ с MAC-адресом, который источник получает от пункта назначения, помогает в дальнейшей передаче данных.

              Методы разрешения адресов

              Связь между адресом протокола и аппаратным адресом называется привязкой.

              Для этой цели используются три метода:

              • Поиск в таблице — привязки, хранящиеся в памяти, с адресом протокола в качестве ключа. Он использует канальный уровень для проверки адреса протокола, чтобы найти аппаратный адрес.
              • Динамический. Этот метод обмена сообщениями по сети используется для своевременного разрешения проблем. Канальный уровень отправляет запросы сообщений по аппаратному адресу. пункт назначения отвечает.
              • Вычисление в закрытой форме. В этом методе адрес протокола основан на аппаратном адресе. Канальный уровень получает аппаратный адрес из адреса протокола.

              Типы ARP

              Вот четыре типа протокола разрешения адресов, которые приведены ниже:

              • Прокси-ARP
              • Необоснованный ARP
              • Обратный ARP
              • Обратный ARP

              Давайте изучим их все подробно:

              Прокси-ARP:

              В методе Proxy ARP устройства уровня 3 могут отвечать на запросы ARP.Этот настроенный тип ARP-маршрутизатора будет отвечать на целевой IP-адрес и сопоставляет MAC-адрес маршрутизатора с целевым IP-адресом и отправителем, когда он достигает пункта назначения.

              Безвозмездный ARP:

              Безвозмездный — это еще один тип ARP-запроса хоста. Этот тип запроса ARP помогает сети идентифицировать повторяющийся IP-адрес. Таким образом, когда маршрутизатор или коммутатор отправляет запрос ARP для получения своего IP-адреса, ответы ARP не принимаются, поэтому никакие другие узлы не могут использовать IP-адрес, выделенный этому коммутатору или маршрутизатору.

              Обратный ARP (RARP)

              Обратный ARP, также называемый теперь RARP, представляет собой тип сетевого протокола ARP, который используется клиентской системой в локальной сети для запроса своего IPv4-адреса из таблицы маршрутизатора ARP. Сетевой администратор обычно создает таблицу в шлюзе-маршрутизаторе, которая помогает определить MAC-адрес для этого конкретного IP-адреса.

              Обратный ARP (InARP)

              Inverse ARP также называется InARP. Это тип ARP, используемый для поиска IP-адресов узлов по адресам канального уровня. InARP широко используется для ретрансляции кадров в сетях ATM, где адресация виртуальных каналов уровня 2 получена из сигнализации уровня 2.

              Заголовок ARP:

              • Тип оборудования – 1 для Ethernet.
              • Тип протокола. Это протокол, используемый на сетевом уровне.
              • Длина аппаратного адреса. Это длина в байтах, поэтому для Ethernet она будет равна 6.
              • Длина адреса протокола — ее значение равно 4 байтам.
              • Код операции указывает, что пакет представляет собой запрос ARP (1) или ответ ARP (2).
              • Аппаратный адрес отправителя — это аппаратный адрес исходного узла.
              • Адрес протокола отправителя. Это адрес уровня 3 исходного узла.
              • Адрес целевого оборудования. Он используется в запросе RARP, ответ на который влияет как на аппаратное обеспечение получателя, так и на адреса уровня 3.
              • Адрес целевого протокола. Он используется в запросе ARP, когда ответ содержит как адреса уровня 3, так и аппаратное обеспечение получателя.

              Преимущества использования ARP

              Вот плюсы/преимущества использования ARP

              • Если вы используете ARP, то MAC-адреса можно легко узнать, если вы знаете IP-адрес той же системы.
              • Конечные узлы не должны быть настроены на «знание» MAC-адресов. Его можно найти при необходимости.
              • Цель ARP — сделать так, чтобы каждый хост в сети позволял создавать сопоставление между IP-адресами и физическими адресами.
              • Набор сопоставлений или таблиц, хранящихся на хосте, называется таблицей ARP или кешем ARP.

              ❓ Что произойдет, если запрос ARP будет сделан для несуществующего хоста?

              Если сделать несколько запросов ARP для несуществующего хоста, это увеличит временные интервалы между запросами. В конце концов, ARP сдается.

              ⚡ Что делать, если хост отправляет запрос ARP для своего IP-адреса?

              Другие машины отвечают (беспричинный ARP) как обычный запрос ARP. Это помогает определить, что IP-адрес уже был назначен.

              ARP (протокол разрешения адресов) — это протокол связи сетевого уровня, определенный в RFC826. Он используется для динамического сопоставления интернет-протокола (IP) с аппаратным или MAC-адресом. Если первичный хост хочет связаться с другим целевым хостом, он отправляет широковещательный запрос по всей сети. MAC-адрес узла назначения, соответствующий запросу, возвращается основному узлу в ответ на запрос.

              Хост широковещательно передает запрос на MAC-адрес, связанный с IP-адресом пункта назначения, когда ему необходимо доставить IP-датаграмму в виде кадра Ethernet на другой хост, чей MAC-адрес он игнорирует. Когда запрос получен в подсети, каждый узел проверяет, привязан ли IP-адрес в запросе к одному из его сетевых интерфейсов. Если это так, хост с совпадающим IP-адресом доставляет одноадресный ответ отправителю парного запроса. Чтобы уменьшить количество запросов, отправляемых по сети, каждый хост хранит ARP-кэш пар на основе полученных ответов.

              ARP — это протокол без сохранения состояния, что означает, что ответ может быть отправлен, даже если соответствующий запрос никогда не отправлялся. Когда хост получает ответ, он заменяет соответствующую запись в кэше парой, содержащейся в ответе. Хотя элемент кэша следует изменять только в том случае, если сопоставление уже установлено, некоторые операционные системы кэшируют ответы в любой ситуации для повышения эффективности.

              Что делает ARP?

              Сопоставление IP-MAC-адресов отправителя (SPA и SHA) будет изучено узлами, получающими запрос ARP, и добавлено в их соответствующие кэши ARP. Значение TPA в запросе ARP будет проверяться каждым принимающим узлом, чтобы убедиться, что оно соответствует его IP-адресу. В этом случае он ответит ответным сообщением ARP.

              Протокол ARP может отправлять два типа сообщений ARP. Запрос ARP — это одно, а ответ ARP — это другое;

              Запрос ARP. Когда хост отправляет запрос ARP, он включает свои IP- и MAC-адреса, тип сообщения ARP и IP-адрес назначения во фрейме запроса ARP. Затем запрос ARP отправляется всем хостам в той же локальной сети, что и передающий хост. Поле целевого MAC-адреса оставлено пустым, и хост должен заполнить его целевым IP-адресом.

              Ответ ARP: Когда хост получает запрос ARP со своим IP-адресом в качестве целевого IP-адреса, он заполняет поле целевого MAC-адреса своим MAC-адресом, а поле операции — кодом операции ответа ARP. Этот пакет отправляется прямо запрашивающей машине; это известно как одноадресная передача. Когда запрашивающая машина получает ответ ARP, она изменяет свой кэш ARP с запрошенным MAC-адресом.

              Для чего используется протокол разрешения адресов?

              ARP (протокол разрешения адресов) — это ориентированный на соединение протокол, используемый интернет-протоколом для связывания IP-адресов с MAC-адресами, который сохраняется в кэше ARP каждого клиента. Чтобы упростить эту процедуру, сетевые инженеры разработали набор правил, известных как протоколы обмена компьютерными сообщениями. Эти протоколы обеспечивают подключение подключенных к сети устройств и их возможность работать быстро и без проблем.

              Какова цель протокола разрешения адресов?

              Каждый пакет в подсети должен быть доставлен на локальный сетевой интерфейс. Шлюз подсети принимает тех, чьи IP-адреса назначения находятся за пределами локальной сети (на что указывает маска подсети). Пакеты, предназначенные для внутренней подсети, доставляются напрямую. IP-адрес должен быть сопоставлен с MAC-адресом, независимо от того, является ли целевой адрес локальным или шлюзовым. Разрешение ARP использует простой широковещательный запрос, за которым следует одноадресный ответ для выполнения распределенного поиска. Запрос отправляется на локальный широковещательный адрес запрашивающим хостом. Только хост, назначенный запрошенному адресу, должен ответить своим локальным аппаратным адресом в соответствии с протоколом.

              Как работает ARP?

              ARP — это один из самых простых, но важных методов связи в локальной сети. ARP используется для определения MAC-адреса хоста по его IP-адресу. Это достигается путем широковещательной рассылки пакета запроса ARP по всей сети. В ответном пакете ARP соответствующий хост теперь отвечает своим MAC-адресом (одноадресная рассылка). При определенных обстоятельствах хост может транслировать свой собственный MAC-адрес в специальном пакете Gratuitous ARP. На каждом хосте хранится кэш ARP, в котором хранятся любые сопоставления адресов, полученные из сети (динамические записи) или определенные администратором (статические записи). Срок действия динамических записей истекает через определенное время, которое различается в зависимости от операционной системы. Когда запись достигает срока действия, она удаляется из кэша, и, если хост хочет взаимодействовать с тем же узлом, отправляется другой запрос ARP. Статические записи не имеют срока действия.

              ARP работает путем передачи пакетов "запрос ARP". «Любой, у кого есть IP-адрес x?» запрашивает запрос ARP. Если это так, пожалуйста, верните мне свой MAC-адрес." Даже в коммутируемой сети эти пакеты широковещательно передаются на все машины в локальной сети.

              Рис. 1. Пример ARP-запроса и ARP-ответа

              Пример запроса ARP и ответа ARP в ARP следующий:

              Хост IP1 хочет отправить пакет на IP3, но IP1 знает только IP-адрес IP3.

              Хост IP1 передает запрос ARP с IP-адресом IP3, как показано на рисунке 1.

              Все хосты в локальной сети получают широковещательный запрос ARP.

              Узел IP3 отвечает своим MAC-адресом посредством одноадресной рассылки ответа ARP, как показано на рисунке 1, и обновляет свой кэш ARP с помощью MAC-адреса MAC3.

              Узел IP1 добавляет MAC-адрес MAC3 в свой кэш ARP.

              Теперь хост IP1 может доставлять пакеты напрямую на IP3.

              Какие существуют типы ARP?

              Существует четыре типа ARP:

              1. Обратный ARP

              Операции ARP и Reverse ARP (RARP) отличаются. ARP предполагает, что каждый хост понимает, как сопоставить свой аппаратный адрес с адресом(ами) своего протокола. Небольшой кеш используется для хранения информации о других хостах. Нет различий между клиентами и серверами; все хосты имеют одинаковый статус. RARP, с другой стороны, требует обслуживания базы данных сопоставлений аппаратных адресов с адресами протоколов и ответов на запросы от клиентских хостов одним или несколькими серверными хостами.

              Хосты серверов требуются RARP для поддержки больших баз данных. Поддержание такой базы данных в ядре операционной системы хоста нежелательно, а в некоторых случаях невозможно. В результате большинству реализаций необходимо каким-то образом взаимодействовать с программой вне ядра.

              Очень важно иметь простое решение, минимально влияющее на существующее программное обеспечение хоста. Было бы ошибкой разработать протокол, требующий внесения изменений в программное обеспечение каждого хоста, независимо от того, хотят ли они в этом участвовать.

              2. Прокси-ARP​

              Чтобы сделать небольшую сеть устройств видимой в другой подсети, используйте прокси-ARP с подсетями. В результате все машины в локальной сети (отныне известной как сеть 0) будут казаться подключенными к основной сети.

              Только пакеты из сети 1 в сеть 0 направляются через прокси-ARP. Обычная функция IP-маршрутизации используется для возврата пакетов в другом направлении.

              Если узлы находятся в разных физических сетях и вы не хотите использовать маскировку подсети, вам пригодится прокси-ARP. Широковещательные рассылки ARP не распространяются между узлами в отдельных физических сетях, поэтому, если пункт назначения находится в другой подсети, узлы не получат ответа на свой запрос ARP. Хосты могут прозрачно взаимодействовать друг с другом через коммутатор, если коммутатор настроен для работы в качестве прокси-сервера ARP. Proxy ARP позволяет узлам в подсети взаимодействовать с узлами в других подсетях без необходимости маршрутизации или шлюза по умолчанию.

              3. Бесплатный ARP

              Сообщение, отправляемое узлом, который ищет MAC-адрес для своего IP-адреса, называется необоснованным ARP. Он отправляется узлом, который ищет, есть ли в локальной сети другой узел с таким же IP-адресом, или узлом, сообщающим, что его MAC-адрес изменился, что позволяет другим узлам обновить свои кэши.

              Самостоятельный ARP – это уникальный ответ ARP, который не отвечает на запрос ARP. Ответ без запроса ARP известен как необоснованный ответ ARP. Для Gratuitous ARP ответ не ожидается. Ниже приведены характеристики необоснованного пакета ARP. И исходный, и целевой IP-адреса устанавливаются равными IP-адресу машины, отправляющей Gratuitous ARP-пакет.

              Сетевые устройства создают ненужные пакеты ARP по разным причинам, некоторые из которых приведены ниже. Чтобы найти одинаковые IPv4-адреса. Когда компьютеры получают ответ на необоснованный запрос ARP, они могут обнаружить конфликт адресов IPv4 в сети. После изменения IPv4 или MAC-адреса обновите таблицу ARP.

              4. Обратный ARP (IARP)​

              Станция Frame Relay может использовать протокол обратного разрешения адресов (IARP) для определения адреса протокола станции, подключенной к виртуальному каналу. Это быстрее и универсальнее, чем отправка сообщений ARP каждому VC (виртуальному каналу) для каждого адреса, который система должна разрешить. Базовый IARP работает аналогично ARP, за исключением того, что он не выполняет широковещательную рассылку запросов. Это связано с тем, что аппаратный адрес станции назначения уже известен. Когда интерфейс, поддерживающий IARP, включен, он должен запускать протокол IARP и форматировать запросы IARP для каждого активного PVC (постоянного виртуального канала), который поддерживает IARP. Запрашивающая станция ТА делает это, просто вводя в запрос свое исходное оборудование, адреса исходного протокола и известный целевой аппаратный адрес. После этого поле адреса целевого протокола заполняется нулями. Наконец, пакет будет инкапсулирован для указанной сети и отправлен прямо на целевую станцию.

              В чем функциональная разница между ARP, DHCP и DNS?

              Для работы в локальной сети требуются протоколы канального уровня, протокол динамической конфигурации хоста (DHCP) и ARP. DHCP — это протокол, облегчающий подключение к сети. DHCP автоматизирует назначение параметров настройки стека TCP/IP, таких как шлюз по умолчанию, маска подсети и IP-адреса, когда хост подключается к сети. Протокол ARP используется для определения MAC-адреса сетевого устройства, IP-адрес которого известен.

              DNS – это хранилище данных, которое преобразует доменные имена в IP-адреса. IP-адрес используется пакетом TCP/IP для маршрутизации пакетов, но имя хоста более удобочитаемо. В качестве пространства DN используется иерархическое пространство имен, поскольку DN должны быть глобально уникальными; это построено в виде древовидной структуры с корнем наверху. Хотя корневая метка представляет собой пустую строку, каждый узел в дереве имеет метку, представляющую собой строку символов. DN, с другой стороны, представляет собой серию меток, разделенных точками, которые идут от узла к корню.

              DHCP означает "Протокол динамической конфигурации хоста" и представляет собой метод получения сетевых параметров TCP/IP с центрального сервера для сетевых компьютеров. DHCP позволяет компьютерам запрашивать ручные или динамические IP-адреса для хостов при подключении к сети. Служба DHCP автоматически назначает IP-адреса, маски подсети, шлюзы и другие характеристики IP-сети. IP-адреса не назначаются хостам постоянно; вместо этого они сдаются в аренду на определенный период. Незадолго до истечения срока аренды машина должна запросить продление аренды на DHCP-сервере. В противном случае IP-адрес будет заблокирован.Адрес возвращается в диапазон для повторного использования, если хост выключен или отключен от сети. DHCP-сервер не гарантирует, что IP-адрес будет назначен клиенту; тем не менее, сервер обычно хранит адрес до тех пор, пока клиент не запросит его должным образом.

              Для пересылки широковещательного пакета обнаружения DHCP с перезагруженного клиентского компьютера требуется агент ретрансляции DHCP. Агент ретрансляции отправляет его как одноадресную передачу на DHCP-сервер (который может находиться в другой сети). IP-адрес DHCP-сервера обычно сохраняется агентом ретрансляции. В результате работа агента ретрансляции заключается в передаче пакетов между серверами и клиентами. Это позволяет DHCP-серверу обрабатывать подсети, в которых нет доступных серверов, устраняя необходимость в сервере для каждой подсети. DHCP-сервер использует идею аренды для отслеживания срока назначения IP-адреса.

              DNS-серверы — это набор компьютеров, которые совместно используют пространство DN. Домен, который является поддеревом пространства DN и также известен как зона, используется для разделения пространства DN. Имя домена соответствует имени верхнего узла поддерева.

              DNS создавался как клиент-серверная система. Ответчик получает DN от браузера и доставляет сопоставленный запрос на DNS-сервер в клиентском приложении DNS.

              Какова важность ARP в сети?

              MAC-адрес целевого компьютера требуется хост-устройству для передачи сообщения с одного компьютера на другой в той же или другой сети (сетях). В результате, если MAC-адрес получателя не найден в ARP-кэше источника, необходимо сформировать сопоставление между IP-адресом и MAC-адресом. Для этой цели используется ARP.

              Поэтому протокол ARP является критически важным компонентом сетевого уровня и протоколом без сохранения состояния. Пользователи должны определить, сколько хостов они могут иметь в своей подсети, потому что они не хотят, чтобы в конечном итоге подсеть была либо слишком маленькой для обработки всех необходимых им IP-адресов, либо слишком большой и неэффективной.

              Что такое атака с подменой ARP?

              Атакующий может использовать спуфинг ARP для перехвата пакетов данных в локальной сети, управления потоком или полной его остановки. Атака часто используется в качестве плацдарма для других типов атак, таких как отказ в обслуживании, «человек посередине» и перехват сеанса. Атака ограничена сегментами локальной сети и может применяться только в сетях, использующих ARP. MAC-адрес относится к сетевой карте.

              В принципе, MAC-адрес — это глобально уникальный и неизменный адрес, хранящийся на сетевой карте. Сетевому протоколу требуются MAC-адреса, чтобы компьютер мог изучить запрос ARP, проверить, присвоен ли ему в настоящее время соответствующий IP-адрес, и ответить ответом ARP с указанием своего MAC-адреса. Операционные системы хранят в кэше ответы ARP, чтобы уменьшить количество широковещательных пакетов ARP. Когда хост получает ответ ARP, он обновляет ассоциацию IP-MAC в своем кэше ARP.

              Во время передачи между узлами ARP загрязняется. В этом случае злоумышленник может изменить данные, а также нарушить передачу данных. Чтобы получить ответ ARP, компьютеру не нужно отправлять запрос ARP. В результате, в случае поддельного ответа кэш компьютера будет обновляться как обычно.

              ARP — это протокол без сохранения состояния. Даже если они не отправляли для этого явный запрос ARP, узлы будут кэшировать любые доставленные им ответы ARP. В большинстве операционных систем, даже если в кэше ARP существует предыдущая динамическая запись ARP с неистекшим сроком действия, она будет перезаписана более новым ответным пакетом ARP. Поскольку у них нет способа проверить своих пиров, все хосты просто сохраняют полученные ARP-ответы. Это основная проблема, которая приводит к спуфингу ARP.

              Рис. 2. Атака Arp Spoofing

              Процесс создания пакетов ARP для имитации другого хоста в сети называется спуфингом ARP. В самом простом виде спуфинга ARP злоумышленник регулярно отправляет целевой поддельные ответы ARP. Продолжительность между поддельными ответами существенно меньше, чем период тайм-аута входа в кэш ARP для операционной системы хоста-жертвы. Целевой хост никогда не должен делать запрос ARP для хоста, адрес которого злоумышленник подделывает в результате этого.

              Читайте также: