ARP協議解析

一、定義：

地址解析協議，是經過解析網絡層地址（ipv4, ipv6）來尋找數據鏈路層地址的一個在網絡協議包中很是重要的網絡傳輸協議。ARP屬於數據鏈路層協議。

二、基本功能

在以太網協議中規定，同一局域網中的一臺主機要和另外一臺主機進行直接通訊，必需要知道目標主機的MAC地址。而在TCP/IP協議中，網絡層和傳輸層只關心目標主機的IP地址。這就致使在以太網中使用IP協議時，數據鏈路層的以太網協議接到上層IP協議提供的數據中，只包含目的主機的IP地址。因而須要一種方法，根據目的主機的IP地址，得到其MAC地址。這就是ARP協議要作的事情。所謂地址解析（address resolution）就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。

另外，當發送主機和目的主機不在同一個局域網中時，即使知道目的主機的MAC地址，二者也不能直接通訊，必須通過路由轉發才能夠。因此此時，發送主機經過ARP協議得到的將不是目的主機的真實MAC地址，而是一臺能夠通往局域網外的路由器的MAC地址。因而此後發送主機發往目的主機的全部幀，都將發往該路由器，經過它向外發送。這種狀況稱爲委託ARP或ARP代理（ARP Proxy）。

三、數據包結構

image

image

1. 目標主機的Mac地址
2. 源主機的Mac地址
3. 協議類型,代表以太網幀的類型,這裏是0x0806,表明這是ARP協議幀。
4. 硬件類型,1表明是以太網。
5. 協議類型,代表上層協議的類型,這裏是0x0800,表示上層協議是IP協議
6. 硬件地址長度,毫無疑問是6個字節
7. 協議長度,這裏IP協議的長度是4個字節
8. 操做類型,在報文中佔2個字節,1表示ARP請求,2表示ARP應答,3表示RARP請求,4表示RARP應答

   四、本地路由表

   在每檯安裝有TCP/IP協議的主機裏都有一個ARP緩存表，表裏的IP地址與MAC地址是一對應的，以下表所示
   

   

   image

   
   以主機A（192.168.38.10）向主機B（192.168.38.11）發送數據爲例。

1.當發送數據時，主機A會在本身的ARP緩存表中尋找是否有目標IP地址。若是找到就知道目標MAC地址爲（00-BB-00-62-C2-02），直接把目標MAC地址寫入幀裏面發送就可。

2.若是在ARP緩存表中沒有找到相對應的IP地址，主機A就會在網絡上發送一個廣播（ARP request），目標MAC地址是「FF.FF.FF.FF.FF.FF」，這表示向同一網段內的全部主機發出這樣的詢問：「192.168.38.11的MAC地址是什麼？」

3.網絡上其餘主機並不響應ARP詢問，只有主機B接收到這個幀時，才向主機A作出這樣的迴應（ARP response）：「192.168.38.11的MAC地址是00-BB-00-62-C2-02」，此迴應以單播方式。這樣，主機A就知道主機B的MAC地址，它就能夠向主機B發送信息。同時它還更新本身的ARP高速緩存（ARP cache），下次再向主機B發送信息時，直接從ARP緩存表裏查找就可。

ARP緩存表採用老化機制，在一段時間內若是表中的某一行沒有使用，就會被刪除，這樣能夠大大減小ARP緩存表的長度，加快查詢速度。

五、GARP

GARP（gratuitous ARP），他是指主機發送ARP查詢（廣播）本身的IP地址，當ARP功能被開啓或者是端口初始配置完成，主機向網絡發送免費ARP來查詢本身的IP地址確認地址惟一可用。

做用：

一、肯定網絡中是否有其餘主機使用了IP地址，若是有應答則產生錯誤消息。
二、免費ARP能夠作更新ARP緩存用，網絡中的其餘主機收到該廣播則在緩存中更新條目，收到該廣播的主機不管是否存在與IP地址相關的條目都會強制更新，若是存在舊條目則會將MAC更新爲廣播包中的MAC。

六、ARP實例

使用 arp -d -a 刪除本地路由表。打開抓包工具從新連接網絡能夠看到一下截圖

image

1.本地發送一個廣播ARP包獲取局域網網關的MAC地址。

2.路由器接收到消息之後以單播的形式應答，本地將路由器MAC的地址寫入本地路由表中。

3.因爲使用的是DHCP獲取協議，本地還會發送一個GRAP的廣播ARP包，確認當前IP是否有衝突。

七、ARP欺騙、攻擊

ARP欺騙的運做原理是由攻擊者發送假的ARP數據包到網絡上，尤爲是送到網關上。其目的是要讓送至特定的IP地址的流量被錯誤送到攻擊者所取代的地方。所以攻擊者可將這些流量另行轉送到真正的網關（被動式數據包嗅探，passive sniffing）或是篡改後再轉送（中間人攻擊，man-in-the-middle attack）。攻擊者亦可將ARP數據包導到不存在的MAC地址以達到阻斷服務攻擊的效果。
對ARP攻擊感興趣能夠閱讀Jpcap實現ARP攻擊