文档介绍：一、ARP协议简介
ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,同时对上层(网络层)提供服务。
IP数据包在局域网中传输,网络设备并不识别32位IP地址,它们是以48位以太网地址传输数据包,这个以太网地址就是通俗说的网卡地址或者MAC地址。因此,必须把IP目的地址转换成MAC目的地址。在局域网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。它就是通过ARP协议(地址解析协议)获得的。
ARP的数据包结构
ARP的数据结构如图所示:
硬件类型(Hardware type)
协议类型(Protocol type)
硬件地址长度(Hlen)
协议长度(Plen)
操作类型(operation)
发送方硬件地址(Sender hardware address)
发送方协议地址(Sender protocol address)
目标硬件地址(Target hardware address)
目标协议地址(Target protocol address)
具体的描述如下:
硬件类型字段:指明了发送方想知道的硬件接口类型,以太网的值为1;
协议类型字段:指明了发送方提供的高层协议类型,IP为0800(16进制);
硬件地址长度和协议长度:指明了硬件地址和高层协议地址的长度;
操作字段:用来表示这个报文的类型,ARP请求为1,ARP响应为2;
发送方的硬件地址:源主机硬件地址;
发送方协议地址:源主机IP地址;
目的硬件地址:目的主机硬件地址;
目的协议地址:目的主机的IP地址。
ARP的工作原理
ARP协议的目的:在同一个网段当中,解释目标主机的MAC地址,并为下一步的与目标IP地址
通信做好准备。
阶段A:
由于计算机A不知道计算机B的MAC地址,它会发送一个ARP请求(request)的广播包,要求解释计算机B的MAC地址。同时它含包含着计算机A的IP地址和MAC地址。
对ARP请求包进行抓包操作,正常的ARP请求包格式如下:
阶段B:
计算机B接到该广播包后,取出A的IP地址和MAC地址,将其添加到本计算机的高速缓存的地址映射表(IP-MAC地址对照表)中。同时返回单播ARP响应(reply)响应包中包含B的IP地址和MAC地址。
同时,由于计算机A发送到是广播,L3交换机也会收到计算机A广播,同时他也把A的IP地址和MAC地址添加到IP-MAC(IPARP)对照表当中。
对ARP响应包进行抓包操作,正常的ARP响应包格式如下:
阶段C:
计算机A 收到计算机B的单播响应, 取出B的IP 地址和硬件地址, 将其添加到高速缓存的地址映射表中。
到此为止,计算机A和计算机B就可以正常进行数据传送。
计算机A同其他的计算机通信都是按照上述的原则进行。同理,当计算机要进行跨网段通信时候,首先也要解析网关(L3 switch)的MAC地址,然后由网关代为转发。
二、ARP欺骗的方式和原理
要保证网络通信的正常,每个主机高速缓存的地址映射表和交换机的IPARP地址对照表都是准确无误的。任何一台主机或交换机的对照表不正常都会或多或少地影响网络通信,严重的时候,特别是整个网关的MAC学****不正常的时候会导致这个网段的主机无法进行跨网段通信。
ARP的欺骗是多种多样的,一般按发送包的形式来说可以分成两种:
无理(Gratuitous)ARP欺骗
无理的ARP请求包,在包的封装要包含下列特征,才算是无理ARP请求包,并会触发网络设备的相应操作。
ARP包里面的目标MAC地址为广播地址,即目标硬件地址=FF:FF:FF:FF:FF:FF;
ARP包里面的源MAC地址为主机地址,即发送方协议地址=主机MAC地址;
发送方协议地址=目标协议地址=要解析的IP地址。
在正常的网络当中,无理ARP请求包用于以下网络功能的:
:
当网络设备在分配了IP地址的时候,首先会发送一个无理ARP请求,询问有没有其他主机在使用这个IP。如果网络中有网络设备使用了这个IP,则它就会发送一个ARP响应包给新分配IP的网络设备,告诉这个IP已经被使用,这个时候Windows操作系统会做出一个IP地址冲突的告警。如果在规定的时候内没有收到任何ARP答复,则本网络设备认为这个IP没有地址重复,是可以使用的。
(IP-MAC地址对照表):
上文已经提到,当网络设备在分配了一个IP地址的时候,首先会发送一个无理ARP请求,这个请求包会包含这个网络设备的IP和MAC信息,任何收到此广播的网络设备将无条件地更新IPARP