科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道ARP协议揭密

ARP协议揭密

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。第1行中的下一个输出字段arp who-has表示作为ARP请求的这个数据帧中,目的I P地址是211.161.17.21的地址,发送端的I P地址是d2server的地址。

作者:中国IT实验室 2007年9月16日

关键字: 路由协议 EIGRP igrp SNMP CISCO 网络协议

  • 评论
  • 分享微博
  • 分享邮件

  1 ARP协议概述

  

  IP数据包常通过以太网发送。以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。

  

  ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来,以节约不必要的ARP通信。

  

  如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上, ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。

   

  图1 以太网上的ARP报文格式

  

  图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位,也就是4个八位组表示,在以后的图中,我们也将遵循这一方式。

  

  硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1。协议类型字段指明了发送方提供的高层协议类型,IP为0806(16进制)。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。

  

  当发出ARP请求时,发送方填好发送方首部和发送方IP地址,还要填写目标IP地址。当目标机器收到这个ARP广播包时,就会在响应报文中填上自己的48位主机地址。

  

  2 ARP使用举例

  

  我们先看一下linux下的arp命令(如果开始arp表中的内容为空的话,需要先对某台主机进行一个连接,例如ping一下目标主机来产生一个arp项):

  

  d2server:/home/kerberos# arp

  Address     HWtype HWaddress     Flags Mask      Iface

  211.161.17.254  ether  00:04:9A:AD:1C:0A   C         eth0

  Address:主机的IP地址

  Hwtype:主机的硬件类型

  Hwaddress:主机的硬件地址

  Flags Mask:记录标志,"C"表示arp高速缓存中的条目,"M"表示静态的arp条目。

  

  用"arp --a"命令可以显示主机地址与IP地址的对应表,也就是机器中所保存的arp缓存信息。这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为20分钟,起始时间从被创建时开始算起。

  

  d2server:/home/kerberos# arp -a

  (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0

  可以看到在缓存中有一条211.161.17.254相对应的arp缓存条目。

  d2server:/home/kerberos# telnet 211.161.17.21

  Trying 211.161.17.21...

  Connected to 211.161.17.21.

  Escape character is '^]'.

  ^].

  telnet>quit

  connetion closed.

  

  在执行上面一条telnet命令的同时,用tcpdump进行监听:

  

  d2server:/home/kerberos# tcpdump -e dst host 211.161.17.21

  tcpdump: listening on eth0

  

  我们将会听到很多包,我们取与我们arp协议相关的2个包:

  

  1 0.0 00:D0:F8:0A:FB:83 FF:FF:FF:FF:FF:FF arp 60

   who has 211.161.17.21 tell d2server

  2 0.002344(0.0021) 00:E0:3C:43:0D:24 00:D0:F8:0A:FB:83 arp 60

   arp reply 211.161.17.21 is at 00:E0:3C:43:0D:24

  

  在第1行中,源端主机(d2server)的硬件地址是00:D0:F8:0A:FB:83。目的端主机的硬件地址是FF:FF:FF:FF:FF:FF,这是一个以太网广播地址。电缆上的每个以太网接口都要接收这个数据帧并对它进行处理。

  

  第1行中紧接着的一个输出字段是arp,表明帧类型字段的值是0x0806,说明此数据帧是一个ARP请求或回答。

  

  在每行中,单词后面的值60指的是以太网数据帧的长度。由于ARP请求或回答的数据帧长都是42字节(28字节的ARP数据,14字节的以太网帧头),因此,每一帧都必须加入填充字符以达到以太网的最小长度要求:60字节。

  

  第1行中的下一个输出字段arp who-has表示作为ARP请求的这个数据帧中,目的I P地址是211.161.17.21的地址,发送端的I P地址是d2server的地址。tcpdump打印出主机名对应的默认I P地址。

  

  从第2行中可以看到,尽管ARP请求是广播的,但是ARP应答的目的地址却是211.161.17.21(00:E0:3C:43:0D:24)。ARP应答是直接送到请求端主机的,而是广播的。tcpdump打印出arp reply的字样,同时打印出响应者的主机ip和硬件地址。

  

  在每一行中,行号后面的数字表示tcpdump收到分组的时间(以秒为单位)。除第1行外,每行在括号中还包含了与上一行的时间差异(以秒为单位)。

  

  这个时候我们再看看机器中的arp缓存:

  

  d2server:/home/kerberos# arp -a

  (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0

  (211.161.17.21) at 00:E0:3C:43:0D:24 [ether] on eth0

  

  arp高速缓存中已经增加了一条有关211.161.17.21的映射。

  

  再看看其他的arp相关的命令:

  

  d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00

  d2server:/home/kerberos# arp

  Address     HWtype HWaddress    Flags Mask    Iface

  211.161.17.254   ether  00:04:9A:AD:1C:0A   C      eth0

  211.161.17.21   ether  00:00:00:00:00:00   CM      eth0

  d2server:/home/kerberos# arp -a

  (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0

  (211.161.17.21) at 00:00:00:00:00:00 [ether] PERM on eth0

  

  可以看到我们用arp -s选项设置了211.161.17.21对应的硬件地址为00:00:00:00:00:00,而且这条映射的标志字段为CM,也就是说我们手工设置的arp选项为静态arp选项,它保持不变没有超时,不像高速缓存中的条目要在一定的时间间隔后更新。

  

  如果想让手工设置的arp选项有超时时间的话,可以加上temp选项

  

  d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 temp

  d2server:/home/kerberos# arp -a

  (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0

  (211.161.17.21) at 00:00:00:00:00:00 [ether] on eth0

  d2server:/home/kerberos# arp

  Address    HWtype HWaddress     Flags Mask   Iface

  211.161.17.254  ether  00:04:9A:AD:1C:0A   C      eth0

  211.161.17.21  ether  00:00:00:00:00:00    C      eth0

  

  可以看到标志字段的静态arp标志"M"已经去掉了,我们手工加上的是一条动态条目。

  

  请大家注意arp静态条目与动态条目的区别。

  

  在不同的系统中,手工设置的arp静态条目是有区别的。在linux和win2000中,静态条目不会因为伪造的arp响应包而改变,而动态条目会改变。而在win98中,手工设置的静态条目会因为收到伪造的arp响应包而改变。

  

  如果您想删除某个arp条目(包括静态条目),可以用下面的命令:

  

  d2server:/home/kerberos# arp -d 211.161.17.21 

  d2server:/home/kerberos# arp -a

  (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0

  (211.161.17.21) at on eth0

  

  可以看到211.161.17.21的arp条目已经是不完整的了。

  

  还有一些其他的命令,可以参考linux下的man文档:

  

  d2server:/home/kerberos# man arp

  

  3 ARP欺骗

  

  我们先复习一下上面所讲的ARP协议的原理。在实现TCP/IP协议的网络环境下,一个ip包走到哪里,要怎么走是靠路由表定义,但是,当ip包到达该网络后,哪台机器响应这个ip包却是靠该ip包中所包含的硬件mac地址来识别。也就是说,只有机器的硬件mac地址和该ip包中的硬件mac地址相同的机器才会应答这个ip包,因为在网络中,每一台主机都会有发送ip包的时候,所以,在每台主机的内存中,都有一个 arp--> 硬件mac 的转换表。通常是动态的转换表(该arp表可以手工添加静态条目)。也就是说,该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。

  

  通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的硬件mac地址,如果没有找到,该主机就发送一个ARP广播包,于是,主机刷新自己的ARP缓存。然后发出该ip包。

  

  了解这些常识后,现在就可以谈在以太网络中如何实现ARP欺骗了,可以看看这样一个例子。

  

  3.1 同一网段的ARP欺骗

   

  图2 同一网段的arp欺骗

  

  如图2所示,三台主机

  

  A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA

  B: ip地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB:BB

  C: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC

  

  

  一个位于主机B的入侵者想非法进入主机A,可是这台主机上安装有防

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章