|
-------------------LVS專題------------------------ LVS原理詳解及部署之一:ARP原理準(zhǔn)備 LVS原理詳解及部署之二:LVS原理詳解(3種工作方式8種調(diào)度算法) LVS原理詳解及部署之三:手動(dòng)部署LVS LVS原理詳解及部署之四:keepalived介紹 LVS原理詳解及部署之五:LVS+keepalived實(shí)現(xiàn)負(fù)載均衡&高可用 ------------------------------------------------- 一、ARP技術(shù)概念介紹 為什么講ARP技術(shù)�,因?yàn)槠匠9ぷ髦杏薪佑|。還有就是LVS的dr模式是用到arp的技術(shù)和數(shù)據(jù)���。 1�����、什么是ARP協(xié)議 ARP協(xié)議全程地址解析協(xié)議(AddressResolution Protocol�����,ARP)是在僅知道主機(jī)的IP地址時(shí)確定其物理地址的一種協(xié)議���。因IPv4和以太網(wǎng)的廣泛應(yīng)用,其主要作用是通過已知IP地址���,獲取對(duì)應(yīng)物理地址的一種協(xié)議�。 2�����、什么是ARP代理(ARP proxy) 在網(wǎng)絡(luò)中代理是非常常見的,所謂的代理就是我朝一個(gè)人要��,另外一個(gè)人給��。生活中一個(gè)比較實(shí)際的例子就是��,房屋中介����。 Arp協(xié)議要求通信的主機(jī)的雙方必須是在物理的同一個(gè)網(wǎng)段����。那如果發(fā)送主機(jī)和目標(biāo)主機(jī)不是在同一個(gè)局域網(wǎng)里,而ARP廣播包是不能夠跨越網(wǎng)段進(jìn)行傳輸?shù)?����。所以此時(shí)就需要一個(gè)路由或ARP中繼技術(shù)來轉(zhuǎn)發(fā)ARP請(qǐng)求包�。客戶端獲取到的MAC地址是路由器或者中繼的MAC地址�����。那么之后這個(gè)客戶端發(fā)給目的端的數(shù)據(jù),都會(huì)先發(fā)給這個(gè)路由器或ARP中繼�����,再進(jìn)而轉(zhuǎn)給目的端��,這種情況就稱為ARP代理���。 3��、arp協(xié)議工作原理 原理圖: 
當(dāng)主機(jī)10.0.0.1要發(fā)送數(shù)據(jù)給10.0.0.2數(shù)據(jù),會(huì)首先去查本地的arp緩存表�,如果有此IP地址和此主機(jī)對(duì)應(yīng)的MAC地址,如果有就可以直接傳輸數(shù)據(jù)�。如果沒有就主機(jī)10.0.0.1就會(huì)向局域網(wǎng)去廣播,詢問誰的IP地址是10.0.0.2.此時(shí)在本局域網(wǎng)中的所有主機(jī)都能夠收到此廣播包�,但只有主機(jī)10.0.0.2才會(huì)回應(yīng)這個(gè)廣播包。會(huì)以單播的形式直接回復(fù)10.0.0.2說我的MAC地址為多少�。此時(shí)10.0.0.1收到了此信息,那么兩者之間就能夠通過MAC地址進(jìn)行通信了��。并且將這個(gè)ARP和IP對(duì)應(yīng)信息緩存到ARP緩存表里���。
ARP欺騙工作原理: ARP欺騙就是通過偽造IP地址和MAC地址對(duì)實(shí)現(xiàn)ARP欺騙的����,它能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP包,來讓網(wǎng)絡(luò)堵塞�����。攻擊主機(jī)只要持續(xù)的發(fā)送假的ARP包��,讓網(wǎng)絡(luò)中的主機(jī)緩存錯(cuò)誤的IP-MAC對(duì)應(yīng)信心���,造成網(wǎng)絡(luò)中斷或中間人攻擊�����。 ARP攻擊主要是在局域網(wǎng)中的,因?yàn)?/span>ARP包是不會(huì)垮網(wǎng)絡(luò)傳播的��。所以劃分VLAN能夠減少當(dāng)受到ARP攻擊后����,網(wǎng)絡(luò)受影響的范圍。 ARP欺騙過程圖及講解: 
ARP欺騙防御辦法 1)進(jìn)行MAC和IP地址進(jìn)行綁定 2)殺毒軟件開啟arp防火墻 ARP病毒排查 1)使用arp –a命令查看本地arp緩存表��,查看重復(fù)MAC地址或在交換機(jī)路由器上查看重復(fù)MAC地址���。 2)使用ARP防御軟件或檢測(cè)軟件(如:科萊���,彩影arp防火墻分析流量�����,查找可以攻擊源) 3)使用折半法排除網(wǎng)絡(luò)出錯(cuò)范圍���。(如先斷開一般的網(wǎng)絡(luò)查看是否正常,如果正常就說明斷開的那部分有問題��。然后再接上剩下的那一半繼續(xù)查看��,依次類推最終找到問題點(diǎn)) 當(dāng)然排查���、預(yù)防ARP攻擊的方法有很多��,大家可以自己尋找�����。 ------------------------------自我后續(xù)小結(jié)-------------------------------------- ARP協(xié)議的功能就是能夠通過IP地址解析到MAC地址�����。而ARP欺騙的手段就是通過偽造IP-MAC信息�����,讓網(wǎng)絡(luò)上的主機(jī)受騙���。誤以為攻擊主機(jī)就是他們要發(fā)送的目標(biāo)主機(jī)(路由器)這樣就將信息都發(fā)給了攻擊者����,攻擊者就能獲取網(wǎng)絡(luò)其他主機(jī)的數(shù)據(jù)包��。而且網(wǎng)絡(luò)上的主機(jī)會(huì)出現(xiàn)網(wǎng)絡(luò)中斷等現(xiàn)象���。如果攻擊者在網(wǎng)絡(luò)上大量的發(fā)送ARP信息�����,也會(huì)造成網(wǎng)絡(luò)的堵塞。 ---------------------------------------------------------------------------------
|
