解析ARP數(shù)據(jù)包---計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)

1、華南農(nóng)業(yè)大學(xué)信息學(xué)院課程設(shè)計(jì)課程設(shè)計(jì)題目：解析ARP數(shù)據(jù)包計(jì)劃學(xué)時(shí)：2周所屬課程名稱：計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)開設(shè)時(shí)間： 2010學(xué)年第一學(xué)期 授課班級(jí)： 07軟件R3指導(dǎo)教師：*學(xué)生姓名：*學(xué) 號(hào)：* 信息學(xué)院評(píng)分標(biāo)準(zhǔn)封面格式（5）正文格式（10）題目理解準(zhǔn)確度（30）程序設(shè)計(jì)質(zhì)量（30）設(shè)計(jì)報(bào)告質(zhì)量（25）得分總分解析ARP數(shù)據(jù)包摘要：本文首先介紹了地址解析協(xié)議ARP的概念，詳細(xì)說(shuō)明了ARP的工作原理，ARP攻擊的基本原理，詳細(xì)分解了ARP數(shù)據(jù)包的各個(gè)字段含義，ARP協(xié)議工作的流程和這次課程設(shè)計(jì)的意義與目的；接著描述了此實(shí)驗(yàn)的總體設(shè)計(jì)；然后是詳細(xì)設(shè)計(jì)，分析講解了實(shí)現(xiàn)代碼的主要部分；最后還講了做這

2、次課程設(shè)計(jì)的個(gè)人總結(jié)，談了一些個(gè)人觀點(diǎn)。關(guān)鍵字：ARP數(shù)據(jù)包、工作原理、ARP攻擊、解析、截獲、功能1 引言1.1背景首先，我們來(lái)了解一下什么是ARP，ARP的工作原理以及ARP攻擊所帶來(lái)的危害。1.1.1什么是ARP地址解析協(xié)議（Address Resolution Protocol，ARP）是在僅知道主機(jī)的IP地址時(shí)確定其物理地址的一種協(xié)議。因IPv4和以太網(wǎng)的廣泛應(yīng)用，其主要用作將IP地址翻譯為以太網(wǎng)的MAC地址，但其也能在ATM和FDDIIP網(wǎng)絡(luò)中使用。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說(shuō)來(lái)就是將網(wǎng)絡(luò)層（IP層，也就是相當(dāng)于OSI的第三層）地址解析為

3、數(shù)據(jù)連接層（MAC層，也就是相當(dāng)于OSI的第二層）的MAC地址。在以太網(wǎng)協(xié)議中規(guī)定，同一局域網(wǎng)中的一臺(tái)主機(jī)要和另一臺(tái)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。而在TCP/IP協(xié)議棧中，網(wǎng)絡(luò)層和傳輸層只關(guān)心目標(biāo)主機(jī)的IP地址。這就導(dǎo)致在以太網(wǎng)中使用IP協(xié)議時(shí)，數(shù)據(jù)鏈路層的以太網(wǎng)協(xié)議接到上層IP協(xié)議提供的數(shù)據(jù)中，只包含目的主機(jī)的IP地址。于是需要一種方法，根據(jù)目的主機(jī)的IP地址，獲得其MAC地址。這就是ARP協(xié)議要做的事情。所謂地址解析（address resolution）就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。 另外，當(dāng)發(fā)送主機(jī)和目的主機(jī)不在同一個(gè)局域網(wǎng)中時(shí)，即便知

4、道目的主機(jī)的MAC地址，兩者也不能直接通信，必須經(jīng)過路由轉(zhuǎn)發(fā)才可以。所以此時(shí)，發(fā)送主機(jī)通過ARP協(xié)議獲得的將不是目的主機(jī)的真實(shí)MAC地址，而是一臺(tái)可以通往局域網(wǎng)外的路由器的某個(gè)端口的MAC地址。于是此后發(fā)送主機(jī)發(fā)往目的主機(jī)的所有幀，都將發(fā)往該路由器，通過它向外發(fā)送。這種情況稱為ARP代理（ARP Proxy）。1.1.2ARP工作原理在每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對(duì)應(yīng)的。 以主機(jī)A（209.0.0.5）向主機(jī)B（209.0.0.6）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了

5、目標(biāo)MAC地址，直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到目標(biāo)IP地址，主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，A主機(jī)MAC地址是“主機(jī)A的MAC地址”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問：“我是209.0.0.5，我的硬件地址是00-00-C0-15-AD-18"主機(jī)A的MAC地址".請(qǐng)問IP地址為209.0.0.6的MAC地址是什么？”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問，只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出這樣的回應(yīng)：“209.0.0.6的MAC地址是08-00-2B-00-EE-0A”。這樣，主機(jī)A就知道了主機(jī)B的MAC地址，它就可以向

6、主機(jī)B發(fā)送信息了。同時(shí)A和B還同時(shí)都更新了自己的ARP緩存表（因?yàn)锳在詢問的時(shí)候把自己的IP和MAC地址一起告訴了B），下次A再向主機(jī)B或者B向A發(fā)送信息時(shí)，直接從各自的ARP緩存表里查找就可以了。ARP緩存表采用了老化機(jī)制（即設(shè)置了生存時(shí)間TTL），在一段時(shí)間內(nèi)（一般15到20分鐘）如果表中的某一行沒有使用，就會(huì)被刪除，這樣可以大大減少ARP緩存表的長(zhǎng)度，加快查詢速度。（如圖1所示）ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間

7、人攻擊。 ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一個(gè)人感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障圖1 ARP工作原理 1.1.3ARP攻擊ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過“ARP欺騙”手段截獲所

8、在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。初期：這種有目的的發(fā)布錯(cuò)誤ARP廣播包的行為，被稱為ARP欺騙。ARP欺騙，最初為黑客所用，成為黑客竊取網(wǎng)絡(luò)數(shù)據(jù)的主要手段。黑客通過發(fā)布錯(cuò)誤的ARP廣播包，阻斷正常通信，并將自己所用的電腦偽裝成別人的電腦，這樣原本發(fā)往其他電腦的數(shù)據(jù)，就發(fā)到了黑客的電腦上，達(dá)到竊取數(shù)據(jù)的目的。 中期：ARP惡意攻擊。后來(lái)，有人利用這一原理，制作了一些所謂的“管理軟件”，例如網(wǎng)絡(luò)剪刀手、執(zhí)法官、終結(jié)者等，這樣就導(dǎo)致了ARP惡意攻擊的泛濫。往往使用這種軟件的人，以惡意破壞為目的，多是為了讓別人斷線，逞一時(shí)之快。特別是在網(wǎng)吧中，或者因?yàn)樯虡I(yè)競(jìng)爭(zhēng)的目的、

9、或者因?yàn)閭€(gè)人無(wú)聊泄憤，造成惡意ARP攻擊泛濫。隨著網(wǎng)吧經(jīng)營(yíng)者摸索出禁用這些特定軟件的方法，這股風(fēng)潮也就漸漸平息下去了。 現(xiàn)在：綜合的ARP攻擊。最近這一波ARP攻擊潮，其目的、方式多樣化，沖擊力度、影響力也比前兩個(gè)階段大很多。首先是病毒加入了ARP攻擊的行列。以前的病毒攻擊網(wǎng)絡(luò)以廣域網(wǎng)為主，最有效的攻擊方式是DDOS攻擊。但是隨著防范能力的提高，病毒制造者將目光投向局域網(wǎng)，開始嘗試ARP攻擊，例如最近流行的威金病毒，ARP攻擊是其使用的攻擊手段之一。 相對(duì)病毒而言，盜號(hào)程序?qū)W(wǎng)吧運(yùn)營(yíng)的困惑更大。盜號(hào)程序是為了竊取用戶帳號(hào)密碼數(shù)據(jù)而進(jìn)行ARP欺騙，同時(shí)又會(huì)影響的其他電腦上網(wǎng)。1.1.4 ARP包

10、的格式ARP（同RARP）使用相同的報(bào)頭結(jié)構(gòu)，如圖2所示。圖2 ARP（RARP）包頭結(jié)構(gòu)硬件類型字段：指明了發(fā)送方想知道的硬件接口類型，以太網(wǎng)的值為1；協(xié)議類型字段：指明了發(fā)送方提供的高層協(xié)議類型，IP為0800（16進(jìn)制）；硬件地址長(zhǎng)度和協(xié)議長(zhǎng)度：指明了硬件地址和高層協(xié)議地址的長(zhǎng)度，這樣ARP報(bào)文就可以在任意硬件和任意協(xié)議的網(wǎng)絡(luò)中使用；操作字段：用來(lái)表示這個(gè)報(bào)文的類型，ARP請(qǐng)求為1，ARP響應(yīng)為2，RARP請(qǐng)求為3，RARP響應(yīng)為4；發(fā)送方的硬件地址（0-3字節(jié)）：源主機(jī)硬件地址的前3個(gè)字節(jié)；發(fā)送方的硬件地址（4-5字節(jié)）：源主機(jī)硬件地址的后3個(gè)字節(jié)；發(fā)送方IP（0-1字節(jié)）：源主機(jī)硬件

11、地址的前2個(gè)字節(jié)；發(fā)送方IP（2-3字節(jié)）：源主機(jī)硬件地址的后2個(gè)字節(jié)；目的硬件地址（0-1字節(jié)）：目的主機(jī)硬件地址的前2個(gè)字節(jié)；目的硬件地址（2-5字節(jié)）：目的主機(jī)硬件地址的后4個(gè)字節(jié)；目的IP（0-3字節(jié)）：目的主機(jī)的IP地址。1.1.5 ARP協(xié)議工作流程1. 首先，每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū) ( ARP Cache )中建立一個(gè) ARP列表，以表示IP地址和MAC地址的對(duì)應(yīng)關(guān)系。2. 當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的主機(jī)時(shí)，會(huì)首先檢查自己 ARP列表中是否存在該 IP地址對(duì)應(yīng)的MAC地址，如果有就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求的廣播

12、包，查詢此目的主機(jī)對(duì)應(yīng)的MAC地址。此ARP請(qǐng)求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。3. 網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)ARP請(qǐng)求后，會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一個(gè) ARP響應(yīng)數(shù)據(jù)包，告訴對(duì)方自己是它需要查找的MAC地址；4. 源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果源主機(jī)一直沒有收到ARP響應(yīng)數(shù)

13、據(jù)包，表示ARP查詢失敗。1.2意義與目的這次課程設(shè)計(jì)的意義與目的主要有以下兩點(diǎn)：1、 我們已經(jīng)學(xué)習(xí)了一個(gè)學(xué)期的計(jì)算機(jī)網(wǎng)絡(luò)課程，在網(wǎng)絡(luò)協(xié)議體系結(jié)構(gòu)中，不管采用哪一種劃分形式，網(wǎng)絡(luò)層都是作為獨(dú)立的一層，可見其在網(wǎng)絡(luò)通信中的重要性。在網(wǎng)絡(luò)層中有對(duì)重要協(xié)議：ARP/RARP，用于網(wǎng)卡物理地址（MAC地址）與網(wǎng)絡(luò)協(xié)議地址（IP地址）之間的轉(zhuǎn)換。通過這個(gè)課程設(shè)計(jì)，加深對(duì)課本知識(shí)的理解與掌握，同時(shí)自己親自動(dòng)手實(shí)現(xiàn)，對(duì)知識(shí)的領(lǐng)悟能夠起到事半功倍的效果。2、 認(rèn)識(shí)ARP地址解析協(xié)議的工作原理，了解ARP攻擊（ARP欺騙）的實(shí)現(xiàn)原理，找到解決ARP攻擊的有效解決方案，為局域網(wǎng)計(jì)算機(jī)提供一個(gè)安全的運(yùn)行環(huán)境，以及在

14、不小心被攻擊時(shí)知道如何處理。2 總體設(shè)計(jì) 2.1 系統(tǒng)或算法框架設(shè)計(jì)1. 得到網(wǎng)絡(luò)驅(qū)動(dòng).利用PCAP提供的PCAP_findalldevs( )函數(shù)實(shí)現(xiàn)此功能.2. 選擇一塊網(wǎng)卡,并判斷其是否可用.3. 編輯設(shè)置過濾器,使其只捕獲ARP包.過濾函數(shù)PCAP_complie和PCAP_setfilter.設(shè)置函數(shù)為PCAP_setfilter( ).4. 開始捕獲數(shù)據(jù)包并進(jìn)行處理.使用PCAP_next_ex( )函數(shù)實(shí)現(xiàn)此功能.2.2功能設(shè)計(jì)通過編制程序，獲取網(wǎng)絡(luò)中的ARP數(shù)據(jù)包，解析數(shù)據(jù)包的內(nèi)容，將結(jié)果顯示在標(biāo)準(zhǔn)輸出上，并同時(shí)寫入日志文件。程序的具體要求如下所示：1）以命令行的形式運(yùn)行，如下

15、所示：arp1.exelog.txt其中，arp1.exe為程序名；log.txt為日志文件名。2）程序輸出內(nèi)容如下所示：源IP地址源MAC地址目的IP地址目的MAC地址操作時(shí)間各部分的說(shuō)明如下所示：1、源IP地址：輸出ARP消息格式中的源IP地址字段。2、源MAC地址：輸出ARP消息格式中的源物理地址字段3、目的IP地址：輸出ARP消息格式中的目的IP地址字段。4、目的MAC地址：輸出ARP消息格式中的目的物理地址字段。5、操作：輸出ARP消息格式中的操作字段，若為ARP請(qǐng)求，則為1，若為ARP應(yīng)答，則為2。6、時(shí)間：該ARP包產(chǎn)生的時(shí)間。3）當(dāng)程序接收到鍵盤輸入Ctrl十C時(shí)退出。2.3

16、平臺(tái)設(shè)計(jì)Windows 7， Microsoft Microsoft Visual C+ 6.0 簡(jiǎn)體中文版， WinPcap_4_1_2， WpdPack_4_1_22.4 數(shù)據(jù)結(jié)構(gòu)的設(shè)計(jì)struct ARPPACKETunsigned short hdtyp; /硬件地址unsigned short protyp; /協(xié)議類型unsigned char hdsize; /硬件地址長(zhǎng)度unsigned char prosize; /協(xié)議地址長(zhǎng)度unsigned short op; /操作值: ARP/RARPu_char smac6; /源MAC地址u_char sip4; /源IP地址u_

17、char dmac6; /目的MAC地址u_char dip4; /目的IP地址;3 詳細(xì)設(shè)計(jì)3.1 泵程序代碼所使用的頭文件以及鏈接庫(kù)，其中頭文件pcap.h 和鏈接庫(kù)Ws2_32.lib、wpcap.lib都不是Microsoft Microsoft Visual C+ 6.0 中提供的。#include < Winsock2.h > #pragma comment( lib , "Ws2_32.lib" ) /使用ntohs( )函數(shù) , 轉(zhuǎn)換2B/4B的數(shù)據(jù)#pragma comment( lib , "wpcap.lib" )#in

18、clude "pcap.h" /需要另外導(dǎo)入，具體步驟見Winpcap使用說(shuō)明#include < fstream.h > #include < iomanip.h > /格式化輸出#include < conio.h > /使用_getch( )3.2 ARP包頭結(jié)構(gòu)體struct ARPPACKETunsigned short hdtyp; /硬件地址unsigned short protyp; /協(xié)議類型unsigned char hdsize; /硬件地址長(zhǎng)度unsigned char prosize; /協(xié)議地址長(zhǎng)度unsign

19、ed short op; /操作值: ARP / RARPu_char smac6; /源MAC地址u_char sip4; /源IP地址u_char dmac6; /目的MAC地址u_char dip4; /目的IP地址;3.3自定義處理包函數(shù)，在使用前必須申明/pcap_pkthdr是winpcap加入的/pkt_data表示MAC幀的起始位置/out是輸出流void packet_handler( const pcap_pkthdr *header, const u_char *pkt_data , ostream& out );3.4主函數(shù)。本程序只能在命令行下運(yùn)行，并且還帶兩

20、個(gè)參數(shù)，第一個(gè)參數(shù)即是本程序可執(zhí)行文件名，第二個(gè)參數(shù)便是文件名，用來(lái)記錄程序執(zhí)行時(shí)產(chǎn)生的結(jié)果。程序首先判斷程序啟動(dòng)時(shí)是否有兩個(gè)參數(shù)，若不是兩個(gè)，則輸出提示信息后退出。然后獲取網(wǎng)絡(luò)設(shè)備列表，選擇一個(gè)網(wǎng)卡后，以混雜模式打開網(wǎng)卡，接受所有的幀，接著獲取子網(wǎng)掩碼和設(shè)置過濾器，以確保只接收ARP數(shù)據(jù)包。最后一直循環(huán)等到獲取ARP數(shù)據(jù)包，報(bào)獲取到的數(shù)據(jù)包分解后按照一定的格式同時(shí)輸出到命令行窗口和指定文件。（具體請(qǐng)見源代碼）3.4 自定義處理包函數(shù)，這個(gè)函數(shù)主要是用來(lái)截獲ARP數(shù)據(jù)包（具體請(qǐng)見源代碼）4 總結(jié)4.1 工作小結(jié)這是我上完計(jì)算機(jī)網(wǎng)絡(luò)課程以來(lái)的第一次課程設(shè)計(jì)，通過這次試驗(yàn)，我了解到：在網(wǎng)絡(luò)協(xié)議體系

21、結(jié)構(gòu)中，不管采用哪一種劃分形式，網(wǎng)絡(luò)層都是作為獨(dú)立的一層，可見其在網(wǎng)絡(luò)通信中的重要性。在網(wǎng)絡(luò)層中有對(duì)重要協(xié)議：ARP/RARP，用于網(wǎng)卡物理地址（MAC地址）與網(wǎng)絡(luò)協(xié)議地址（IP地址）之間的轉(zhuǎn)換。通過這個(gè)課程設(shè)計(jì)，我加深了對(duì)課本知識(shí)的理解與掌握，同時(shí)自己親自動(dòng)手實(shí)現(xiàn)，對(duì)課本知識(shí)有了更加深刻的領(lǐng)悟。另外，我還認(rèn)了識(shí)ARP地址解析協(xié)議的工作原理，了解ARP攻擊（ARP欺騙）的實(shí)現(xiàn)原理，找到了解決ARP攻擊的有效解決方案。最重要的一點(diǎn)是，這次試驗(yàn)暴露出我對(duì)這門課程的學(xué)習(xí)的許多問題，很多重要知識(shí)都已經(jīng)忘得差不多了，以后要注意學(xué)習(xí)。4.2 存在的問題1、本程序是在命令行模式下運(yùn)行，界面不美觀，并且只有在輸入正確參