关于ARP的

关于ＡＲＰ

ARP (地址解析协议)用来动态地将第三层网络地址转换成数据链路地址。当一
个系统与在同一网络中的另外一个系统通信时，它会首先向广播地址(FF:FF:FF:
FF:FF:FF)发送一个ARP报文.这个报文问了一个简单的问题："谁使用网络地址A
?...请告诉网络地址B".既然同一网络中的所有主机均收到了这些广播报文，系
统A收到了这个ARP报文后将发送一个回应报文。源主机使用这个回复报文来建立
一个表(缓存)，将32位的IP地址映射到第二层硬件(MAC)地址。另一个表由网络
层管理。这个表由数据链路层提供的信息建立，并包含针对活动连接的网络路由
信息。网络层从数据链路层获取MAC地址，然后将这些地址插入一个网络路由表。
网络路由表项在20分钟后过期。
当一个网络主机准备与另外一个主机通信时，IP层首先检查ARP缓存。如果缓存
中没有对方的表项，主机将广播一个ARP请求报文。ARP缓存表项在5分钟后过期。
ARP缓存易受到两种类型的攻击：ARP缓存"中毒"和ARP欺骗。ARP缓存"中毒"包括
将一个不存在的或是错误的ARP地址插入到系统ARP缓存中。这导致一个拒绝服务
攻击，因为尽管目标系统会把报文发送给对方的IP地址，但是通信对方的MAC地址
却是错误的。
ARP欺骗可以导致系统入侵。象IP欺骗一样，ARP欺骗首先要求禁止网络中的某台
主机，以便它不会回复任何地ARP广播请求。一旦这一步完成，攻击者就可以在发
起攻击的主机上设置被禁主机的IP地址。当受害主机试图与被禁止的主机通信时，
攻击者的主机将回复一个ARP请求，将它自己的MAC地址插入受害主机的ARP缓存中。
在两个主机之间的通信就可以正常进行了。
防御ARP攻击是很困难的。一种对付ARP攻击的方法是减少缓存表项的生存时间。
缓存生存时间由内核参数arp_cleanup_interval决定。IP路由表项的生存时间
由内核参数ip_ire_flush_interval控制。
    # ndd -set /dev/arp arp_cleanup_interval
    # ndd -set /dev/ip ip_ire_flush_interval
这里是以毫秒为单位的。减小ARP缓存和IP路由表的超时时间将会拖延攻
击者，但并不能阻止他们。
另外一个办法是可以为某些系统创建静态ARP地址。静态ARP缓存是永久的因此不会
过期。这些表项可以通过命令"arp -d"来删除。第三个办法是在网络接口上禁止ARP
处理并增加静态ARP表项。