什么是ARP知識(shí)分享

網(wǎng)絡(luò)ARP技術(shù)08082107馮曉晨08082108柯晶晶08082109蔣曉飛什么是ARP？地址解析協(xié)議（AddressResolutionProtocol，ARP）是在僅知道主機(jī)的IP地址時(shí)確定其物理地址的一種協(xié)議。那么ARP和RARP的工作原理是什么呢？RARP的工作原理：1.發(fā)送主機(jī)發(fā)送一個(gè)本地的RARP廣播，在此廣播包

中，聲明自己的MAC地址并且請(qǐng)求任何收到此請(qǐng)求的RARP服務(wù)器分配一個(gè)IP地址；2.本地網(wǎng)段上的RARP服務(wù)器收到此請(qǐng)求后，檢查其RARP列表，查找該MAC地址對(duì)應(yīng)的IP地址；

3.如果存在，RARP服務(wù)器就給源主機(jī)發(fā)送一個(gè)響應(yīng)數(shù)據(jù)包并將此IP地址提供給對(duì)方主機(jī)使用；4.如果不存在，RARP服務(wù)器對(duì)此不做任何的響應(yīng)；

5.源主機(jī)收到從RARP服務(wù)器的響應(yīng)信息，就利用得到的IP地址進(jìn)行通訊；如果一直沒有收到RARP服務(wù)器的響應(yīng)信息，表示初始化失敗ARP的地址解析是什么呢？

為什么要進(jìn)行ARP的地址解析呢？1.使用ARP協(xié)議的目的：IP--ARP-->物理地址？2.使用ARP協(xié)議的原因：n(1)不管網(wǎng)絡(luò)層使用的是什么協(xié)議，在實(shí)際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時(shí)，最終還是必須使用硬件地址。(2)每一個(gè)主機(jī)都設(shè)有一個(gè)ARP高速緩存(ARPcache)，里面有所在的局域網(wǎng)上的各主機(jī)和路由器的IP地址到硬件地址的映射表（命令，arp-a或arp-g——用于查看高速緩存中的所有項(xiàng)目）。(3)當(dāng)主機(jī)A欲向本局域網(wǎng)上的某個(gè)主機(jī)B發(fā)送IP數(shù)據(jù)報(bào)時(shí)，就先在其ARP高速緩存中查看有無主機(jī)B的IP地址。如有，就可查出其對(duì)應(yīng)的硬件地址，再將此硬件地址寫入MAC幀，然后通過局域網(wǎng)將該MAC幀發(fā)往此硬件地址。(4)為什么我們不直接使用硬件地址進(jìn)行通信3.ARP的工作示意圖ARP協(xié)議是“AddressResolutionProtocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?，幀里面是有目?biāo)主機(jī)的MAC地址的。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。所以說從某種意義上講ARP協(xié)議是工作在更低于IP協(xié)議的協(xié)議層。這也是為什么ARP欺騙更能夠讓人在神不知鬼不覺的情況下出現(xiàn)網(wǎng)絡(luò)故障，他的危害更加隱蔽。

什么是ARP協(xié)議首先我們可以肯定一點(diǎn)的就是發(fā)送ARP欺騙包是通過一個(gè)惡毒的程序自動(dòng)發(fā)送的，正常的TCP/IP網(wǎng)絡(luò)是不會(huì)有這樣的錯(cuò)誤包發(fā)送的，而人工發(fā)送又比較麻煩。也就是說當(dāng)黑客沒有運(yùn)行這個(gè)惡毒程序的話，網(wǎng)絡(luò)上通信應(yīng)該是一切正常的，保留在各個(gè)連接網(wǎng)絡(luò)計(jì)算機(jī)上的ARP緩存表也應(yīng)該是正確的，只有程序啟動(dòng)開始發(fā)送錯(cuò)誤ARP信息以及ARP欺騙包時(shí)才會(huì)讓某些計(jì)算機(jī)訪問網(wǎng)絡(luò)出現(xiàn)問題。接下來我們來闡述下ARP欺騙的原理.*總結(jié):ARP欺騙是把自己的MAC地址偽造成網(wǎng)關(guān)的地址來欺騙其它的主機(jī)ARP欺騙的原理ARP欺騙的原理第一步：假設(shè)這樣一個(gè)網(wǎng)絡(luò)，一個(gè)Hub或交換機(jī)連接了3臺(tái)機(jī)器，依次是計(jì)算機(jī)A，B，C。A的地址為：IP：192.168.1.1MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：192.168.1.2MAC:BB-BB-BB-BB-BB-BBC的地址為：IP：192.168.1.3MAC:CC-CC-CC-CC-CC-CC第二步：正常情況下在A計(jì)算機(jī)上運(yùn)行ARP-A查詢ARP緩存表應(yīng)該出現(xiàn)如下信息。Interface:192.168.1.1onInterface0x1000003InternetAddressPhysicalAddressType192.168.1.3CC-CC-CC-CC-CC-CCdynamic第三步：在計(jì)算機(jī)B上運(yùn)行ARP欺騙程序，來發(fā)送ARP欺騙包。

B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.1.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當(dāng)A接收到B偽造的ARP應(yīng)答，就會(huì)更新本地的ARP緩存（A可不知道被偽造了）。而且A不知道其實(shí)是從B發(fā)送過來的，A這里只有192.168.1.3（C的IP地址）和無效的DD-DD-DD-DD-DD-DDmac地址。第四步：欺騙完畢我們?cè)贏計(jì)算機(jī)上運(yùn)行ARP-A來查詢ARP緩存信息。你會(huì)發(fā)現(xiàn)原來正確的信息現(xiàn)在已經(jīng)出現(xiàn)了錯(cuò)誤。Interface:192.168.1.1onInterface0x1000003InternetAddressPhysicalAddressType192.168.1.3DD-DD-DD-DD-DD-DDdynamic

從上面的介紹我們可以清楚的明白原來網(wǎng)絡(luò)中傳輸數(shù)據(jù)包最后都是要根據(jù)MAC地址信息的，也就是說雖然我們?nèi)粘Ｍㄓ嵍际峭ㄟ^IP地址，但是最后還是需要通過ARP協(xié)議進(jìn)行地址轉(zhuǎn)換，將IP地址變?yōu)镸AC地址。而上面例子中在計(jì)算機(jī)A上的關(guān)于計(jì)算機(jī)C的MAC地址已經(jīng)錯(cuò)誤了，所以即使以后從A計(jì)算機(jī)訪問C計(jì)算機(jī)這個(gè)192.168.1.3這個(gè)地址也會(huì)被ARP協(xié)議錯(cuò)誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的。問題也會(huì)隨著ARP欺騙包針對(duì)網(wǎng)關(guān)而變本加厲，當(dāng)局域網(wǎng)中一臺(tái)機(jī)器，反復(fù)向其他機(jī)器，特別是向網(wǎng)關(guān)，發(fā)送這樣無效假冒的ARP應(yīng)答信息包時(shí)，嚴(yán)重的網(wǎng)絡(luò)堵塞就會(huì)開始。由于網(wǎng)關(guān)MAC地址錯(cuò)誤，所以從網(wǎng)絡(luò)中計(jì)算機(jī)發(fā)來的數(shù)據(jù)無法正常發(fā)到網(wǎng)關(guān)，自然無法正常上網(wǎng)。這就造成了無法訪問外網(wǎng)的問題，另外由于很多時(shí)候網(wǎng)關(guān)還控制著我們的局域網(wǎng)LAN上網(wǎng)，所以這時(shí)我們的LAN訪問也就出現(xiàn)問題了。什么是ARP攻擊？

ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一個(gè)人感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過“ARP欺騙手段”截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。遭受ARP攻擊后現(xiàn)象ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：1.使用局域網(wǎng)時(shí)會(huì)突然掉線，過一段時(shí)