ARP協議格式、ARP運行機制入門學習

相關學習資料

http://baike.baidu.com/view/149421.htm?fromtitle=ARP%E5%8D%8F%E8%AE%AE&fromid=1742212&type=syn
http://blog.csdn.net/dog250/article/details/7251689
http://www.cnitblog.com/flutist1225/articles/19996.html

 

目錄

1. ARP協議簡介
2. ARP協議格式
3. ARP運行機制
4. 保證ARP工做正常的策略

 

1. ARP協議簡介

OSI模型把網絡工做分爲七層，IP地址在OSI模型的第三層，MAC地址在第二層，彼此不直接打交道。在經過以太網發送IP數據包時，須要先封裝第三層(32位IP地址)、第二層(48位MAC地址)的報頭，但因爲發送時只知道目標IP地址，不知道其MAC地址，又不能跨第2、三層，因此須要使用地址解析協議。使用地址解析協議，可根據網絡層IP數據包包頭中的IP地址信息解析出目標硬件地址(MAC地址)信息，以保證通訊的順利進行。

地址解析協議，即ARP(Address Resolution Protocol)，是根據IP地址獲取物理地址的一個TCP/IP協議。其功能是:

1. 主機將ARP請求廣播到網絡上的全部主機，並接收返回消息，肯定目標IP地址的物理地址
2. 將IP地址和硬件地址存入本機ARP緩存中
3. 下次請求時直接查詢ARP緩存

地址解析協議是創建在網絡中各個主機互相信任的基礎上的，網絡上的主機能夠自主發送ARP應答消息，其餘主機收到應答報文時不會檢測該報文的真實性就會將其記錄在本地的ARP緩存中

學習ARP協議，咱們必須明白幾點:

1. ARP是用於將網絡層的IP解析成數據鏈路層的MAC地址的，ARP協議工做在數據鏈路層，咱們在學習它的協議格式的時候須要有這種層次感
2. ARP協議工做在數據鏈路層，因此它沒有端口的概念，即ARP不是像DNS、DHCP那種C/S模式，它就是一個單純的數據鏈路層的廣播

 

2. ARP協議格式

ARP這個協議的做用是：當源主機知道目的主機的IP地址而不知道對方的MAC地址的話可使用ARP這個廣播協議來得到對方的MAC地址，得到硬件地址的緣由是主機通訊是經過MAC地址來實現的。

1. 以太網首部
    1.1 以太網目的MAC地址:
    六個字節的硬件地址地址。
        1) ARP請求解析包
        由於客戶端這個時候並不知道目標IP的MAC地址，因此"ARP請求解析包"必定是一個數據鏈路層廣播數據包，因此這個字段必定是一個FF:FF:FF:FF:FF:FF(廣播MAC地址)
        2) ARP解析迴應包
        硬件地址，包含發送方的MAC地址，當廣播發出時，目標主機的網絡協議棧接收下這個數據包，發現是一個ARP解析包，而且target ip是本身，就對這個數據包的發送方進行迴應。
    1.2 以太網源地址: 發出給ARP包的主機地址。格式與目的地址相同 。
    1.3 以太幀類型: 用來代表上層協議的類型，在ARP協議中這個字段的值爲: 0806 。 
    1.4 幀檢查序列: 用於對數據幀中數據的差錯檢查的(注意是檢測，不是糾錯) 
2. ARP數據包
    2.1 ARP數據包頭部
        2.1.1 硬件類型: 指明瞭發送方想知道的硬件接口類型，以太網的值爲1
        2.1.2 協議類型: 指明瞭發送方提供的高層協議類型，即哪一個協議想要使用ARP解析服務，IP爲0800(16進制)，通常狀況下都是IP協議在使用ARP服務，
故咱們經過抓包看到的大都是0800
        2.1.3 硬件地址長度: 指的是MAC地址的長度，長度爲6 單位是字節 。
        2.1.4 協議長度: 若是是IP4則這個值爲4,單位是字節 。
        2.1.5 操做類型(op): 用來表示這個報文的類型
            1) ARP請求爲1
            2) ARP響應爲2
            3) RARP請求爲3
            4) RARP響應爲4；
    2.2 ARP數據字段
        2.2.1 發送方硬件地址: 發送方的MAC地址
        2.2.2 發送方IP地址: 發送方的IP地址
        2.2.3 目標硬件地址: 
            1) ARP請求解析包
            00:00:00:00:00:00，由於請求方這個時候並不知道目標主機的MAC地址，因此填全0
            2) ARP解析迴應包
            請求方的MAC地址，這個目標主機返回給請求方的解析迴應包
        2.2.4 目標IP地址: 目的主機的IP地址

 

3. ARP運行機制

0x1: 請求方發送ARP請求解析數據包

咱們能夠看到，ARP請求解析的過程是一個廣播過程

0x2: 目標迴應方返回ARP解析迴應包

咱們能夠看到，ARP迴應包的發送是一個定向發送的過程，從而請求方也能夠從這個迴應包中獲得它想要的"請求解析目標"的MAC地址

0x3: 請求方將請求解析的IP對應的MAC地址存入ARP緩存

請求解析方收到ARP迴應包以後，不會進行任何判斷，就直接將對應的MAC地址存入本身的ARP緩存中(這也是ARP投毒攻擊的產生緣由)

arp --help
-a                       查看緩存中的全部項目
-s, --set                設置一個新的ARP項目、不帶任何參數表示查看靜態MAC地址
-d, --delete             人工刪除一個靜態項目
-v, --verbose            be verbose
-n, --numeric            don't resolve names
-i, --device             specify network interface (e.g. eth0)
-D, --use-device         read <hwaddr> from given device
-A, -p, --protocol       specify protocol family
-f, --file               read new entries from file or from /etc/ethers

當協議棧中須要再次進行IP解析的時候，系統會自動到"ARP緩存表"中查找是否已經存在相應的IP表項，若是已存在則使用之，若是不存在，則執行解析流程，對指定的IP進行ARP解析，同時，ARP緩存表的項目若是在一段時間內沒有使用，就會自動過時刪除

 

4. 保證ARP工做正常的策略

ARP機制是一種"無狀態"、"無驗證"的協議，它很容易受到一種"ARP投毒"攻擊，爲了保證局域網內ARP機制的正常運行，能夠採起如下措施

1. 設置靜態的MAC-->IP對應表，不要讓本機刷新設定好的轉換表，這是一個頗有效的方法
    1) 網關
    將全部的客戶端的MAC以及對應IP進行靜態綁定，防止攻擊者假冒客戶端
    2) 普通客戶端
    綁定網關MAC地址，防止攻擊者假冒網關
2. 中止使用ARP，使用靜態ARP緩存表，將ARP作爲永久條目保存在對應表中。 
3. 管理員按期輪詢當前網絡、主機健康狀況，檢查主機上的ARP緩存。  

防護ARP攻擊的工具

1. ARPon
http://arpon.sourceforge.net/download.html

2. ARP Wath
http://www.linuxcommand.org/man_pages/arpwatch8.html

3. XARP
http://www.securityfocus.com/tools/6908

 

 Copyright (c) 2014 LittleHann All rights reserved