傳說中的 ARP

咱們知道，當咱們在瀏覽器裏面輸入網址時，DNS服務器會自動把它解析爲IP地址，瀏覽器實際上查找的是IP地址而不是網址。那麼IP地址是如何轉換爲第二層物理地址（即MAC地址）的呢？在局域網中，這是經過ARP協議來完成的。ARP協議對網絡安全具備重要的意義。經過僞造IP地址和MAC地址實現ARP欺騙，可以在網絡中產生大量的ARP通訊量使網絡阻塞。因此網管們應深刻理解ARP協議。

1、什麼是ARP協議

ARP協議是「Address Resolution Protocol」（地址解析協議）的縮寫。在局域網中，網絡中實際傳輸的是「幀」，幀裏面是有目標主機的MAC地址的。在以太網中，一個主機要和另外一個主機進行直接通訊，必需要知道目標主機的MAC地址。但這個目標MAC地址是如何得到的呢？它就是經過地址解析協議得到的。所謂「地址解析」就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是經過目標設備的IP地址，查詢目標設備的MAC地址，以保證通訊的順利進行。

2、ARP協議的工做原理

在每檯安裝有TCP/IP協議的電腦裏都有一個ARP緩存表，表裏的IP地址與MAC地址是一一對應的，如附表所示。

附表

咱們以主機A（192.168.1.5）向主機B（192.168.1.1）發送數據爲例。當發送數據時，主機A會在本身的ARP緩存表中尋找是否有目標IP地址。若是找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀裏面發送就能夠了；若是在ARP緩存表中沒有找到相對應的IP地址，主機A就會在網絡上發送一個廣播，目標MAC地址是「FF.FF.FF.FF.FF.FF」，這表示向同一網段內的全部主機發出這樣的詢問：「192.168.1.1的MAC地址是什麼？」網絡上其餘主機並不響應ARP詢問，只有主機B接收到這個幀時，才向主機A作出這樣的迴應：「192.168.1.1的MAC地址是00-aa-00-62-c6-09」。這樣，主機A就知道了主機B的MAC地址，它就能夠向主機B發送信息了。同時它還更新了本身的ARP緩存表，下次再向主機B發送信息時，直接從ARP緩存表裏查找就能夠了。ARP緩存表採用了老化機制，在一段時間內若是表中的某一行沒有使用，就會被刪除，這樣能夠大大減小ARP緩存表的長度，加快查詢速度。
        ARP***就是經過僞造IP地址和MAC地址實現ARP欺騙，可以在網絡中產生大量的ARP通訊量使網絡阻塞，***者只要持續不斷的發出僞造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，形成網絡中斷或中間人***。
ARP***主要是存在於局域網網絡中，局域網中如有一我的感染ARP***，則感染該ARP***的系統將會試圖經過「ARP欺騙」手段截獲所在網絡內其它計算機的通訊信息，並所以形成網內其它計算機的通訊故障。

3、如何查看ARP緩存表

ARP緩存表是能夠查看的，也能夠添加和修改。在命令提示符下，輸入「arp -a」就能夠查看ARP緩存表中的內容了，如附圖所示。

用「arp -d」命令能夠刪除ARP表中某一行的內容；用「arp -s」能夠手動在ARP表中指定IP地址與MAC地址的對應。

4、ARP欺騙

其實，此起彼伏的瞬間掉線或大面積的斷網大都是ARP欺騙在做怪。ARP欺騙***已經成了破壞網吧經營的罪魁禍首，是網吧老闆和網管員的心腹大患。

從影響網絡鏈接通暢的方式來看，ARP欺騙分爲二種，一種是對路由器ARP表的欺騙；另外一種是對內網PC的網關欺騙。

第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，並按照必定的頻率不斷進行，使真實的地址信息沒法經過更新保存在路由器中，結果路由器的全部數據只能發送給錯誤的MAC地址，形成正常PC沒法收到信息。第二種ARP欺騙的原理是——僞造網關。它的原理是創建假網關，讓被它欺騙的PC向假網關發數據，而不是經過正常的路由器途徑上網。在PC看來，就是上不了網了，「網絡掉線了」。

通常來講，ARP欺騙***的後果很是嚴重，大多數狀況下會形成大面積掉線。有些網管員對此不甚瞭解，出現故障時，認爲PC沒有問題，交換機沒掉線的「本事」，電信也不認可寬帶故障。並且若是第一種ARP欺騙發生時，只要重啓路由器，網絡就能全面