ARP

多少黄昏烟雨斜檐，翻开诗篇，勾起一纸江南。

ARP (地址解析协议)

• 地址解析协议(Address Resolution Protocol, ARP) 协议是用于根据给定网络层地址，是IPv4地址 查找其对应的数据链路层地址MAC地址的协议。

ARP 工作过程

• 同一网段，主机A要向主机B发送信息

1. 主机A首先查看自己的ARP缓存表，确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址，则主机A直接利用ARP表中的MAC地址，对IP数据包进行帧封装，并将数据包发送给主机B。

2. 如果主机A在ARP表中找不到对应的MAC地址，则将缓存该数据报文，然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址，目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送，该网段上的所有主机都可以接收到该请求，但只有被请求的主机（即主机B）会对该请求进行处理。

3. 主机B比较自己的IP地址和ARP请求报文中的目标IP地址，当两者相同时进行如下处理：将ARP请求报文中的发送端（即主机A）的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A，其中包含了自己的MAC地址。

4. 主机A收到ARP响应报文后，将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发，同时将IP数据包进行封装后发送出去。

• 不同网段，主机A要向主机B发送信息

1. 主机A就先向网关发出ARP请求，ARP请求报文中的目标IP地址为网关的IP地址。

2. 当主机A从收到的响应报文中获得网关的MAC地址后，将报文封装并发给网关。

3. 如果网关没有主机B的ARP表项，网关会广播ARP请求，目标IP地址为主机B的IP地址，当网关从收到的响应报文中获得主机B的MAC地址后，就可以将报文发给主机B；如果网关已经有主机B的ARP表项，网关直接把报文发给主机B。

ARP 缓存表

• 网络设备一般都有一个ARP缓存（ARP Cache），ARP缓存用来存放IP地址和MAC地址的关联信息。在发送数据前，设备会先查找ARP缓存表。如果缓存表中存在对方设备的MAC地址，则直接采用该MAC地址来封装帧，然后将帧发送出去。如果缓存表中不存在相应的信息，则通过发送ARP request报文来获得它。学习到的IP地址和MAC地址的映射关系会被放入ARP缓存表中存放一段时间。在有效期内，设备可以直接从这个表中查找目的MAC地址来进行数据封装，而无需进行ARP查询。过了这段有效期，ARP表现会被自动删除。如果目标设备位于其他网络则源设备会在ARP缓存表中查找网关的MAC地址，然后将数据发送给网关，网关再把数据转发给目的设备。

1. 动态ARP表项

• 动态ARP表项由ARP协议通过ARP报文自动生成和维护，可以被老化，可以被新的ARP报文更新，可以被静态ARP表项覆盖。每个动态ARP缓存项的潜在生命周期是10分钟。新加到缓存中的项目带有时间戳，如果某个项目添加后2分钟内没有再使用，则此项目过期并从ARP缓存中删除；如果某个项目已在使用，则又收到2分钟的生命周期；如果某个项目始终在使用，则会另外收到2分钟的生命周期，一直到10分钟的最长生命周期。

2. 静态ARP表项

• 静态ARP表项通过手工配置和维护，不会被老化，不会被动态ARP表项覆盖。直到重新启动计算机为止。

• 配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址，此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系，从而保护了本设备和指定设备间的正常通信。

• ARP 缓存表使用情况

1. 如果有缓存的情况」，就像上篇文章中介绍的步骤一样，A可以直接告诉数据链路层，E的MAC地址。A会查询ARP缓存表，查看E的MAC地址是什么，然后告知数据链路层。

2. 如果没有缓存的情况」，ARP会广播某一个IP的信息，收到这个广播的设备会回应一个包，表示我是不是这个IP地址。如果是，广播该IP地址的设备会记录对应设备的MAC地址

• ARP缓存表是ARP协议和RARP协议运行的关键ARP缓存表缓存了「IP地址到硬件地址之间的映射关系」（在网络层进行数据转发的时候，需要数据链路层和物理层，因此网络层在进行数据发送的时候，首先需要通过ARP协议，把IP地址转化为MAC地址，然后告诉数据链路层，这时，数据链路层才能进行数据帧的传输）ARP缓存表中的记录并「不是永久有效的」，有一定的期限（因为MAC地址是永久不变的，但是IP地址是会变化的）。

ARP 报文

• 在局域网中，当主机或其它网络设备有数据要发送给另一个主机或设备时，它必须知道对方的网络层地址（即IP地址）。但是仅仅有IP地址是不够的，因为IP数据报文必须封装成帧才能通过物理网络发送，因此发送站还必须有接收站的物理地址，所以需要一个从IP地址到物理地址的映射。APR就是实现这个功能的协议。
• ARP协议的报文信息是直接封装到数据链路层的数据帧中的。

• ARP协议是直接封装在数据链路层的数据帧中，但是ARP属于网络层，ARP协议使用到了IP地址，所以它属于网络层的内容。

RARP (逆地址解析协议)

• (Reverse Address Resolution Protocol)逆地址解析协议，就是和ARP协议做相反的工作，它是将48位的MAC地址转换为32位的IP地址。

ARP 攻击

• MAC 地址和 IP 地址伪造，使得交换机找不到，从而断网。
• 所谓 ARP 攻击，就是伪造 IP 和 MAC 地址进行的攻击或者欺骗，ARP 攻击所产生的效果就是使目标主机
• (当然这里默认的是局域网，倘若你处在外网，涉及到内网渗透，以后在具体说内网渗透)断网，这 种行为从某种意义上来说是，是损人不利己的，因为攻击者并没有得到什么好处，只是让对方不能上网。

ARP 欺骗

• ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上，尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。

• 案例

1. 攻击者聆听局域网上的MAC地址。它只要收到两台主机洪泛的ARP Request，就可以进行欺骗活动。
2. 主机A、B都洪泛了ARP Request.攻击者现在有了两台主机的IP、MAC地址，开始攻击。
3. 攻击者发送一个ARP Reply给主机B，把此包protocol header里的sender IP设为A的IP地址，sender mac设为攻击者自己的MAC地址。
4. 主机B收到ARP Reply后，更新它的ARP表，把主机A的MAC地址（IP_A, MAC_A）改为（IP_A, MAC_C）。
5. 当主机B要发送数据包给主机A时，它根据ARP表来封装数据包的Link报头，把目的MAC地址设为MAC_C，而非MAC_A。
6. 当交换机收到B发送给A的数据包时，根据此包的目的MAC地址（MAC_C）而把数据包转发给攻击者C。
7. 攻击者收到数据包后，可以把它存起来后再发送给A，达到偷听效果。攻击者也可以篡改数据后才发送数据包给A，造成伤害。