ARP協議

一臺pc A（192.168.1.2），想和另外一臺pc B（192.168.1.3）通訊，pc A對本身所在局域網絡內的全部主機，也包括路由器的接口喊（發送ARP查詢信息）：ip地址是192.168.1.3的pc的mac地址是多少，請告訴我。pc B聽到了，告訴pc A我是，並把本身的IP地址和mac地址，一塊兒發送給了pc A。

• ARP協議：Address Resolution Protocol。廣播請求，單播更新。
• ARP的做用：經過廣播的方式，找出已知的IP地址的主機的mac地址。
• ARP的request和response報文的格式是同樣的，用一個標識位去區分是request還response
• ARP發送方報文的目的mac地址是廣播地址：FFFFFFFFFFFF（48個bit）。
• ARP接收方，接到發送方的請求報文後，會自動把請求方的ip地址和mac地址加入到本身的mac地址表裏，而後用單播的方式，使用ARP報文，給發送方發送本身的mac地址。

ping使用的是icmp協議，這個協議的報文裏必須有對方的mac地址，可是當第一次ping一個ip地址時，因爲不知道對方的mac地址，因此須要發送一個arp廣播，也就是arp協議的報文，到mac爲FFFFFFFFFFFF的廣播地址。

分析首次ping一個在同一個網絡內的ip地址

在ios裏第一次ping（R1的f0/0上的ip地址是192.168.1.1/24）一個ip地址的結果以下：

R1#ping 192.168.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 40/72/92 ms

發現有1個點4個歎號，第一點就是表明發送的arp廣播，從而得知了對方的mac地址，因此後面4次使用icpm協議和對方通訊就成功了。第一次是用arp協議和對方通訊的，不是用icmp協議通訊的。

ping一下，是要跟對方溝通5次，一來一回算1次通訊，因此就應該有10次通訊。用抓包工具查看ping一下的結果

發現前2次不是ICMP協議通訊，前面說過，ping使用的協議是ICMP，前2次爲何不是ICMP呢？由於第一次ping，不知道對方的mac，因此要先用ARP報文，找到對方的mac地址。

• ARP的request報文的head：

  head裏有：

  • 目的地的mac地址：12個f，是廣播地址。
  • 源mac地址：本身接口的mac地址。
  • 協議的類型：0x0806（ARP協議）

• ARP的request報文的body：

  body裏有：

  • Hardwar type：Ethernet（1）
  • Protocol type：ipv4
  • hardware size：6
  • Opcode：request（1）。這個字段是區分ARP報文是request報文，仍是response報文。佔2個字節。
  • Sender mac addr：源mac
  • Sender ip addr：源ip
  • Target mac addr：目的mac
  • Target ip addr：目的ip

• ARP的response報文的head：

  Source就是應答方的mac地址

• ARP的response報文的body：

  Opcode：reply（2）。標識出是應答報文。

• 執行ping 192.168.1.2前，查看路由器1和2的arp映射表。

  在路由器1，執行ping路由器2的一個接口上的IP地址前，路由器1的arp映射表：

  R1#show arp
  Protocol  Address          Age (min)  Hardware Addr   Type   Interface
  Internet  192.168.1.1             -   cc01.44f0.0000  ARPA   FastEthernet0/0

  在路由器1，執行ping路由器2的一個接口上的IP地址前，路由器2的arp映射表：

  R2#show arp
  Protocol  Address          Age (min)  Hardware Addr   Type   Interface
  Internet  192.168.1.2             -   cc02.5574.0000  ARPA   FastEthernet0/0

• 執行ping 192.168.1.2後，查看路由器1和2的arp映射表。

  路由器1的arp映射表：

  R1#show arp
  Protocol  Address          Age (min)  Hardware Addr   Type   Interface
  Internet  192.168.1.1             -   cc01.44f0.0000  ARPA   FastEthernet0/0
  Internet  192.168.1.2             0   cc02.5574.0000  ARPA   FastEthernet0/0

  路由器2的arp映射表：

  R2#show arp
  Protocol  Address          Age (min)  Hardware Addr   Type   Interface
  Internet  192.168.1.1             0   cc01.44f0.0000  ARPA   FastEthernet0/0
  Internet  192.168.1.2             -   cc02.5574.0000  ARPA   FastEthernet0/0

• 清空arp映射表：clear arp-cache

  路由器上的arp映射表的生命週期大概是4個小時。

分析首次ping一個在不一樣局網絡內的ip地址

ping的主機和本身不在一個局域網，發送的廣播它就接收不到，怎麼辦？

PC也好，路由器也好，當要請求一個目的地的mac和本身，不在同一個廣播域下的時候：

• PC：把請求發給網關，Ethernet頭部的目的mac是，網關的mac。
  • 而後網關會拆開Ethernet頭部，看到了ICMP裏面的目的IP地址，根據IP地址，看本身能不能到達，能到的話，
  • 就封一個新的ICMP協議的Ethernet頭部，Ethernet頭部裏面目的地mac是fffffffffff。ICMP報文裏的IP地址是不變的。
• 路由器：把請求發給下一跳，Ethernet頭部的目的mac是，下一跳接口的mac。
  • 而後路由器會拆開Ethernet頭部，看到了ICMP裏面的目的IP地址，根據IP地址，看本身能不能到達，能到的話，
  • 就封一個新的ICMP協議的Ethernet頭部，Ethernet頭部裏面目的地mac是ffffffffff。ICMP報文裏的IP地址是不變的。

代理ARP

當路由器沒有指定下一跳，或者PC沒有指定網關的時候，就有可能產生代理ARP。

路由器R1，添加了一條靜態路由，指定了出接口，但沒有指定下一跳

R1#show ip route
C    192.168.1.0/24 is directly connected, FastEthernet0/0
S    192.168.2.0/24 is directly connected, FastEthernet0/0

當ping 192.168.2.1（和本身不在同一個網絡），能夠ping通，而後查看arp映射表：

R1#show arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.1.1             -   cc01.44f0.0000  ARPA   FastEthernet0/0
Internet  192.168.2.1             0   cc02.5574.0000  ARPA   FastEthernet0/0
Internet  192.168.1.2           197   cc02.5574.0000  ARPA   FastEthernet0/0

發現添加了192.168.2.1條目，但mac不是192.168.2.1的mac，而是出接口R2 f0/0（192.168.1.2）的mac地址。因爲只有出接口有能力到達目的地，因此當出接口接到了ARP請求後，就把本身的mac地址，返回給源了，因此源端把返回的mac，加到了本身的arp映射表了，其實這就是ARP欺騙。因此說明，出接口（192.168.1.2）就是代理ARP。

而後，再ping 192.168.2.2（和本身不在同一個網絡），能夠ping通，而後查看arp映射表：

R1#show arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.2.2             0   cc02.5574.0000  ARPA   FastEthernet0/0
Internet  192.168.1.1             -   cc01.44f0.0000  ARPA   FastEthernet0/0
Internet  192.168.2.1             0   cc02.5574.0000  ARPA   FastEthernet0/0
Internet  192.168.1.2           197   cc02.5574.0000  ARPA   FastEthernet0/0

發現添加了192.168.2.2條目，但mac不是192.168.2.2的mac，而是出接口R2 f0/0（192.168.1.2）的mac地址。因爲只有出接口有能力到達目的地，因此當出接口接到了ARP請求後，就把本身的mac地址，返回給源了，因此源端把返回的mac，加到了本身的arp映射表了，其實這就是ARP欺騙。因此再次說明，出接口（192.168.1.2）就是代理ARP。

因此咱們發現了代理ARP的弊端（因爲沒有指定下一跳而產生的弊端）：會產生不少arp條目，佔系統的內存，效率下降。

若是指定了下一跳，則arp映射表裏，只須要有下一跳的條目就足夠了。

接口的代理ARP功能，打開了，在沒有下一跳的時候，它就代理了，查看mac映射表，發現ping一個ip地址就多了一個條目，並且條目的mac地址不少都是打開ARP代理功能的接口的mac地址。

因爲cisco路由器，接口的代理ARP功能，默認是開啓的。

關閉R2的f0/0的ARP代理功能:no ip proxy-arp後，就沒法再ping通了。

R2(config)#int f0/0
R2(config-if)#no ip proxy-arp

ARP後到優先

下圖，從R7要訪問R11，指定下一跳的話，應該指定到R8的f0/0，這條路徑最短。但若是沒有指定下一跳，R8的f0/0和R9的f1/0都是代理ARP，都會給R11返回ARP響應，那麼R7使用哪一個呢？後到ARP響應會覆蓋先到的，因此R11有可能使用的是R9給的ARP響應。但R9要多一跳才能到達R11，因此這也是代理ARP的弊端。

ARP攻擊

• ARP攻擊症狀：局域網的不少病毒都利用ARP協議攻擊（window用arp -a能夠查看arp表）。病毒特徵是，斷網，重啓後又能夠上網了，一會又斷了。

• 攻擊原理：pc A要想連外網必須經過網關，pc A知道網關的ip地址，可是不知道網關的mac地址，因此pc A發廣播問局域網內的全部主機，這時有一臺主機pc B中了ARP病毒，因爲是廣播，pc B接到了pc A的問詢，這時pc B強先回答pc A（在網關pc A以前），告訴pc A一個不存在的mac地址。pc A拿到了不存在的mac地址，向這個不存在的mac地址發送數據後，交換機就蒙了，發現沒有這個mac地址，交換機就不知道該發給誰了，因此交換機就drop這個請求了，因此致使pc A沒法上網了。arp表是過一段時間就動態更新的，因此過一段時間又能上網了，如此反覆。

• ARP欺騙（掛馬）：和arp攻擊相似，上面的pc B強先回答pc A（在網關回答pc A以前），告訴pc A一個假的mac地址，這個mac地址就是pc B本身，pc A接到假的mac地址（pc B的mac地址）後，發送的信息就，直接跑到pc B那裏了，這時pc B就可以記錄下pc A瀏覽的網站等私密信息，而後pc B知道網關的mac地址，它把pc A的請求又轉發了出去，外面的server收到了pc A信息後，把回覆信息發了回來，server的回覆信息，網關，網關又轉給了pc B，pc B這時就能夠在server回的網頁上，植入各類病毒，而後把帶病毒的網頁發給pc A，而後pc A在有病毒的網頁上輸入了密碼後，想把信息發給server，惋惜的是：這個密碼信息又先到了pc B，黑客就得到了pc A上用戶的密碼了。

• 如何解決ARP攻擊：雙向靜態綁定。

  pc端靜態綁定網關/下一跳的mac地址；網關/路由器靜態綁定因此交換機上的pc端的mac地址。

  原理：靜態的mac地址，優先級高於動態的，因此即使動態獲得的mac是錯的，發現有靜態的綁定，優先使用靜態的。

  靜態綁定mac地址命令：

  R4(config)#arp 192.168.1.3 0005.0002.adef arpa
  R4(config)#do show arp
  Protocol  Address          Age (min)  Hardware Addr   Type   Interface
  Internet  192.168.1.3             -   0005.0002.adef  ARPA
  Internet  192.168.2.1           121   cc05.4bf8.0010  ARPA   FastEthernet0/0

  靜態綁定mac地址命令的幫助：

  R4(config)#arp 192.168.1.3 0005.0002.adef ?
    arpa   ARP type ARPA
    sap    ARP type SAP (HP's ARP type)
    smds   ARP type SMDS
    snap   ARP type SNAP (FDDI and TokenRing)
    srp-a  ARP type SRP (side A)
    srp-b  ARP type SRP (side B)

c/c++ 學習互助QQ羣：877684253

本人微信：xiaoshitou5854