一、免費ARP概述
網絡世界紛繁復雜,除了各種黑客攻擊行為對網絡能造成實際破壞之外,還有一類安全問題或泛安全問題,看上去問題不大,但其實仍然可以造成極大的殺傷力。今天跟大家探討的,也是技術原理比較簡單,但實際防范比較頭疼的一個問題:地址沖突。
這個局域網中,大家所在IP網段是192.168.1.0/24,PC1的地址是192.168.1.1,而PC2和PC3的地址發生沖突,都是192.168.1.2。那么,如果PC1需要將數據包發送給192.168.1.2,數據包最終到了PC2還是PC3手里?還是負載均衡?不管結果如何,這里的地址沖突肯定會對正常通信造成麻煩。
上面這個電腦/手機之間的地址沖突,大家可能覺得沒什么太大的問題,那么接下來再看下面這個圖片=>
這里的和處在 [服務集群]中,提供著企業的某種服務,例如Web網站、郵箱系統、FTP文件服務器等,此時服務器的地址發生了沖突,都是10.1.1.1。這種地址沖突則會影響大規模的用戶無法訪問這個服務器,若服務器承載的是核心業務,對于企業則會造成極大的影響。
所以,地址沖突問題可大可小,可能網絡運維人員部署上的疏忽,也可能是普通電腦小白無意導致的,更有可能是主動的黑客行為,例如攻擊者制造地址沖突場景,擾亂正常業務,導致業務服務中斷。
因此,如何在IP地址沖突的時候及時檢測,并且做出解決方案呢?
二、免費ARP原理
ARP,被翻譯為『免費ARP』也被稱為『無故ARP』,用于檢測局域網內的IP地址沖突,在一定程度上能夠給用戶和網絡運維人員提供幫助。相比『免費』這個翻譯,『無故』這個詞其實會更加好理解:"在沒有人問自己的情況下,無緣無故自問自答"。
這項技術不需要電腦和服務器安裝什么安全軟件或產品例如防火墻之類的,也不需要交換機和路由器購買什么,只要設備具備聯網功能(有網卡)就內置了這項功能,由于免費ARP本質是ARP協議的實現,所以只要有TCP/IP協議棧的網卡,就能支持。相比其他安全防御技術,免費ARP是一項輕量級的"用戶無感知"的技術。
接下來win檢測到ip地址沖突,我們來回顧下之前的圖片=>
當用戶發送數據包給192.168.1.2的時候,交換機會將數據包轉發給誰呢?
①根據我們之前學過的ARP原理,交換機會拆開這個數據包,并且根據目的MAC進行轉發;
②那么PC1在數據封裝的時候,目的MAC是封裝PC2還是PC3的MAC?
③目標MAC則取決于電腦本地的ARP緩存表,所以PC1最終把數據包給PC2還是PC3,則取決于收到的ARP回應,并且根據"后到優先"原則作出選擇。
所以,若PC2提前回應ARP,則PC1一直發給PC3;若PC3提前回應ARP,則PC1一直發送給PC2。還有一種情況,PC2和PC3交替回應ARP,PC1有可能將部分數據給PC2,部分數據給PC3(而PC1則處于懵逼狀態,因為關于192.168.1.2的MAC映射一直在變動)。這個更多是理論推導,實際情況不同設備測試出來的效果有些差異,后面章節我會帶大家做真實和虛擬網絡的實驗。
我們來看看免費ARP是如何工作的并介入這場沖突的?
當電腦檢測到自己的IP地址跟其他電腦沖突時,它們會相互發送免費ARP("互懟"),用來提醒對方:你的IP地址跟我的沖突啦! 這里要注意一點:免費ARP是以或Reply廣播形式發送,將IP和MAC地址信息綁定,并宣告到整個局域網。如果在宣告的過程中,其他電腦監聽到,并且地址跟自己一樣,也會直接參與這個"互懟"過程。
上面PC2和PC3一直不停地對外發送免費ARP:我的地址是192.168.1.2,MAC是xxx。與此同時,同一局域網的其他主機,則根據這兩個免費ARP信息不斷的修改本地ARP表,192.168.1.2一會映射到MAC2,一會映射到MAC3。
那么,這個混亂的爭搶過程,會不會停下來呢?
可能會持續一段時間,也可能一直持續下去(后面有實驗驗證)。沖突方之間可能會一直發送,直到有一邊做出讓步并修改IP地址。(不同系統解決方法不同)
很多人在這里開始有疑惑,即便免費ARP幫我們檢測到了地址沖突,但是也是在協議底層在"互懟",我們作為"主人",如何收到地址沖突提示,并且做出修改和讓步呢?因為無論是普通用戶還是專業工程師,也不可能天天掛在這種抓包軟件,時時刻刻盯著免費ARP包,判斷是否有人跟我們地址沖突了。所以,這又涉及到電腦(操作系統)如何根據免費ARP的地址沖突檢測,更好的提示或幫助用戶了。
目前行業的解決方案是這樣的:如果是圖形化操作系統,例如或者MacOS,是通過系統彈框的方式提示用戶;而如果是命令行操作系統(交換機/路由器/防火墻),則通過日志報錯信息提示用戶。
也就是說,無論普通電腦還是專業的防火墻設備,通過免費ARP檢測到地址沖突之后,設備都會彈出來跟他說:喂,主人,你地址跟人家沖突了,該改改了!
這是和MacOS的地址沖突彈框告警,引導用戶修改本機IP地址=>
這是思科路由器IOS(網際操作系統)的地址沖突日志信息win檢測到ip地址沖突,引導網絡運維人員修改IP地址=>
%IP-4-: 192.168.1.2 on /0, by cc02.394f.0000
所以,當地址發生沖突時,根據免費ARP引起的彈框和日志告警,用戶或者管理員便可以對IP地址進行修改,從而解決通信問題。例如,下面的PC2和PC3,只要一方修改了地址即可 =>
三、免費ARP實戰指南
免費ARP出現的場景非常多,例如地址沖突時、地址修改或變更時、DHCP分發地址時、網關冗余協議交互時(例如HSRP)、TFTP傳輸數據時……
不同的場景,抓到的免費ARP數據包,底層結構都會有所差異,可能是基于ARP請求廣播發送的,也可能是基于ARP回應廣播發送的(沒看錯!ARP回應這里是廣播方式)
為了讓大家"親眼所見",同時可跟著我一起實踐,更好吸收這塊的知識,這里我設計了真實和虛擬網絡來進行實戰,并抓取免費ARP數據包,通過數據包解構原理。
(一)真實網絡下 免費ARP實戰
① 跟上一篇文章中代理ARP的真實網絡一樣,我的網絡拓撲是這樣的:
為了讓這個實驗更有通用性,我加入了一臺電腦。此時登錄無線路由器(極路由)查看局域網主機列表:
還是原來的配方.... 蘋果全家桶和一臺電腦。實物圖大概是這樣的:
② 接下來,為了看到地址沖突時,免費ARP的數據包交互,我們在和MacOS同時開啟并抓包本機電腦的數據包,設置arp過濾。
端截圖如下:
端截圖如下:( 10跟無線路由器一直在交互)
③在Mac端,將IP地址設置為跟地址一樣,從192.168.199.177改為192.168.199.152
點擊應用之后,開始觀察兩邊電腦彈框和的ARP包交互過程=>
上圖可以看到的彈框告警了,接下來我們來分析下此時Mac和抓到的數據交互過程=>
我的電腦很明確的回應Mac電腦:這個地址199.152,已經被我用了。這個過程重復了3次。根據抓包,這個過程后面還在不斷的持續中,不管在win還是mac,都能抓到類似的問答過程。
由于電腦此刻不能上網,所以還"不屈不撓"的詢問著,它在想:沒準下線了,沒有回應了呢?(如果win沒有回應,則說明它下線了或改為其他地址了,那么mac就可以使用)
④ 接下來,我們將的網絡斷開,然后在這端觀察arp交互和網絡連接狀態:
此時,跟往常一樣發生三個arp請求,詢問152這個地址是否有人使用,由于已經下線,所以三次都沒有應答。緊接著有三個 arp數據包,跟上面三個請求包幾乎是一樣的,只有一個區別,就是發送者的IP地址此時從0.0.0.0修改為192.168.199.152。這意味著mac確認了152沒有其他人使用,并且認為此刻自己有資格用上152這個地址了。
從抓包來看,之前的arp請求好像沒有標記""這個關鍵詞,那么算不是是免費arp或者無故arp呢?這個其實也是比較多討論和爭議。如果從"自己問自己的角度"出發,這兩種arp都算是免費arp,因為都是在問自己配置的這個新地址192.168.199.152,而且目的都是一致的,都是為了檢測是否地址可用是否存在沖突。
當然,更嚴謹的的免費arp包,則是需要"發送方ip"和"接收者ip"是一致的,就是下面這種arp請求包,都有192.168.199.152這個地址。所以,這一小知識點的話,我個人覺得不用太糾結,通過數據包結構還原整個免費arp工作原理才是最重要的。
從截圖可以看到,經過了上面這些免費ARP的請求之后,由于一直沒有其他設備回應152這個地址,所以電腦再次詢問網關192.168.199.1的物理地址,拿到網關的ARP回應之后,我的便可以正常通信了。
⑤【接下來是拓展內容,涉及dhcp協議,新手的話可暫時忽略這一小段...】
這個實驗還可以繼續深挖下來,此時讓電腦重新接入這個wifi網絡,之后同樣會出現免費arp的交互過程,只不過多了一個dhcp協議交互,并且最終使用了192.168.199.153這個地址接入wifi網絡。先整理下流程再截核心數據包=>
重新接入網絡的dhcp交互包=>
獲取地址后通過免費arp檢測到=>
通過dhcp 放棄152,并重新獲取153這個地址=>
通過免費arp檢測,發現153地址沒其他人用,所以接入了網絡=>
總結:通過這個真實網絡,我們構造了和地址沖突的環境,通過抓取免費arp數據包,學習了免費arp的地址檢測功能以及數據包結構。
①當電腦(手工)修改的地址跟局域網其他主機地址一樣的時候,通過免費arp協議,電腦會彈框提醒并無法上網;
②當相同地址的電腦其中一臺下線時,通過免費arp可以證明此地址可使用(沒人爭搶/回應),此時便可接入網絡;
③當電腦通過DHCP獲取地址時,會通過免費arp檢測這個地址是否可用,若已經被使用,則重新通過dhcp獲取新的地址,再接入互聯網。
④這里抓取的免費ARP包是請求廣播包,并且特征是"自己問自己"。("自己答自己"的回應廣播包,在下面的實驗有)
(二)虛擬網絡下 免費ARP實戰
網絡拓撲采用GNS3搭建,采用C3640操作系統鏡像=>
①為每個路由器配置IP地址,所在網段為192.168.1.0/24=>
R1()#int f0/0
R1(-if)#no sh
R1(-if)#ip add 192.168.1.1 255.255.255.0
R2()#int f0/0
R2(-if)#no sh
R2(-if)#ip add 192.168.1.2 255.255.255.0
R3()#int f0/0
R3(-if)#no sh
R3(-if)#ip add 192.168.1.3 255.255.255.0
②在路由器相連鏈路上抓包,路由器相互PING通,并查看ARP表=>
(這里用R1舉例,其他類似)
R1#ping 192.168.1.2
Type to abort.
5, 100-byte ICMP Echos to 192.168.1.2, is 2 :
!!!!!
rate is 100 (5/5), round-trip min/avg/max = 64/64/64 ms
R1#ping 192.168.1.3
Type to abort.
5, 100-byte ICMP Echos to 192.168.1.3, is 2 :
!!!!!
rate is 100 (5/5), round-trip min/avg/max = 64/64/68 ms
R1#show arp
Age (min) Addr Type
192.168.1.1 - cc00.394f.0000 ARPA /0
192.168.1.3 0 cc02.394f.0000 ARPA /0
192.168.1.2 0 cc01.394f.0000 ARPA /0
③讓R3和R2的地址沖突,例如將R3的地址從192.168.1.3配置為192.168.1.2,在R2和R3上面開啟arp調試"debug arp",在R1上面查看ARP表,通過觀察底層免費ARP包交互過程=>
R3()#int f0/0
R3(-if)#ip add 192.168.1.2 255.255.255.0
一旦R3設置了上面的地址,跟R2沖突之后,此時R2和R3的命令行界面開始不停斷"刷屏"=>
核心日志信息:
R2#
*Mar 1 00:13:25.519: %IP-4-: 192.168.1.2 on /0, by cc02.394f.0000
R2#
*Mar 1 00:13:56.259: %IP-4-: 192.168.1.2 on /0, by cc02.394f.0000
R2#
*Mar 1 00:14:27.167: %IP-4-: 192.168.1.2 on /0, by cc02.394f.0000
雖然網絡設備沒法像或者Macos彈框告警,但是通過日志提示同樣可以達到同樣的目的,讓網絡運維人員作出修改。
Cisco IOS通過免費ARP檢測到地址沖突之后,解決的方法相對"暴力",例如,R2和R3直接會持續發送免費ARP(reply廣播包),直到地址沖突問題被解決掉。可以通過數據包觀察=>
此時再觀察R1上面的ARP表,關于192.168.1.2這個地址的映射信息:
R1#show arp
Age (min) Addr Type
192.168.1.1 - cc00.394f.0000 ARPA /0
192.168.1.3 6 cc02.394f.0000 ARPA /0
192.168.1.2 0 cc02.394f.0000 ARPA /0
R1#show arp
Age (min) Addr Type
192.168.1.1 - cc00.394f.0000 ARPA /0
192.168.1.3 6 cc02.394f.0000 ARPA /0
192.168.1.2 0 cc01.394f.0000 ARPA /0
R1#show arp
Age (min) Addr Type
192.168.1.1 - cc00.394f.0000 ARPA /0
192.168.1.3 6 cc02.394f.0000 ARPA /0
192.168.1.2 0 cc02.394f.0000 ARPA /0
R1#show arp
Age (min) Addr Type
192.168.1.1 - cc00.394f.0000 ARPA /0
192.168.1.3 6 cc02.394f.0000 ARPA /0
192.168.1.2 0 cc01.394f.0000 ARPA /0
……
可以看到,由于免費ARP是一種廣播的形式,所以R1同處一個局域網可以收到,并且ARP信息被不斷修改,一會將192.168.1.2指向R2的MAC地址,一會指向R3的MAC地址。
這個過程會一種持續下去,直到地址做了修改,這里我們將R3的IP地址重新修改為192.168.1.3,之后網絡便恢復了平靜。
總結:通過這個虛擬網絡,我們構造了路由器地址沖突的環境,同樣驗證了免費ARP能夠檢測IP地址沖突的功能,當然,這里跟和Macos的處理方式有一些差別,例如Cisco路由器檢測到免費ARP之后,會保持非常高頻率的"互懟"過程,然后不斷報出錯日志,督促管理員感覺修改地址。除此之外,數據包結構也有差異,和Macos是"自己問自己"的arp 包,而cisco ios是"自己答自己"的arp reply包。
四、總結:地址沖突了怎么辦?
①對于普通用戶而言,當看到電腦彈框告警說明地址有沖突時,在不懂技術的情況下,可以嘗試重啟家里的路由器,這樣可以重新為局域網的電腦分配地址;
②路由器不是自己的,接入的是租房網絡、校園網絡等第三方網絡,當看到電腦彈框告警說明地址有沖突時并且無法管理路由器的時候,可以嘗試手工修改本機電腦的IP地址,無論是還是Macos,直接進入網卡設置修改即可,怎么做手工修改呢?例如電腦地址是192.168.1.1,提示沖突的話,那么可以在原有數字的基礎上遞增1或者10,直到顯示不沖突,例如修改為192.168.1.2、192.168.1.3或者192.168.1.11、192.168.1.21,以此類推..... (這種方法未必能保證解決,但是在管理員介入之前,至少算是一種解決方案);
③對于專業的網絡和安全運維人員而言,當看到網絡地址沖突,則需要考慮自己的DHCP部署、IP地址規劃有沒有問題,或者找出網絡中是否有"搗蛋鬼"自己私設IP之類的;
④通過本章節的學習,我們掌握了免費ARP不同網絡環境下的實現,例如"自己問自己"和"自己答自己"兩種廣播包方式,也了解了電腦和網絡設備的不同機制。