ARP协议详解

ARP协议(地址解析协议)详解

可以理解为工作在2.5层的协议，因为是位于二层（数据链路层）和三层（网络层）之间

1.百度百科解释

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。

2.功能

地址解析协议由互联网工程任务组（IETF）在1982年11月发布的RFC 826中描述制定。 [1] 地址解析协议是IPv4中必不可少的协议，而IPv4是使用较为广泛的互联网协议版本（IPv6仍处在部署的初期）。

OSI模型把网络工作分为七层，IP地址在OSI模型的第三层，MAC地址在第二层，彼此不直接打交道。在通过以太网发送IP数据包时，需要先封装第三层（32位IP地址）、第二层（48位MAC地址）的包头，但由于发送时只知道目标IP地址，不知道其MAC地址，又不能跨第二、三层，所以需要使用地址解析协议。使用地址解析协议，可根据网络层IP数据包包头中的IP地址信息解析出目标硬件地址（MAC地址）信息，以保证通信的顺利进行

3.工作过程

请求-响应

主机A的IP地址为192.168.1.1，MAC地址为0A-11-22-33-44-01；

主机B的IP地址为192.168.1.2，MAC地址为0A-11-22-33-44-02；

当主机A要与主机B通信时，地址解析协议可以将主机B的IP地址（192.168.1.2）解析成主机B的MAC地址，以下为工作流程：

第1步：根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。

第2步：如果主机A在ARP缓存中没有找到映射，它将询问192.168.1.2的硬件地址，从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。

第3步：主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。

第4步：主机B将包含其MAC地址的ARP回复消息直接发送回主机A。

第5步：当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的，生存期结束后，将再次重复上面的过程。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了。

 

由于在没有ARP缓存的情况下进行了广播寻址，因此会存在不安全因素，攻击者会发送伪ARP报文，进行ARP欺骗

4.ARP报文格式

ARP请求的时候，链路层下来直接是ARP数据报，没有ip数据报，因此此处的以太网帧里面的协议类型是ARP，数据里面是ARP协议数据报

• 以太网帧格式

• ARP报文格式

  地址解析协议是通过报文工作的。报文包括如下字段：

  硬件类型	协议类型
  硬件地址长度	协议长度	操作类型
  发送方硬件地址（0-3字节）
  发送方硬件地址（4-5字节）	发送方IP地址（0-1字节）
  发送方IP地址（2-3字节）	目标硬件地址（0-1字节）
  目标硬件地址（2-5字节）
  目标IP地址（0-3字节）

  硬件类型：指明了发送方想知道的硬件接口类型，以太网的值为1；

  协议类型：指明了发送方提供的高层协议类型，IP为0800（16进制）；

  硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用；

  操作类型：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4；

  发送方硬件地址（0-3字节）：源主机硬件地址的前3个字节；

  发送方硬件地址（4-5字节）：源主机硬件地址的后3个字节；

  发送方IP地址（0-1字节）：源主机硬件地址的前2个字节；

  发送方IP地址（2-3字节）：源主机硬件地址的后2个字节；

  目标硬件地址（0-1字节）：目的主机硬件地址的前2个字节；

  目标硬件地址（2-5字节）：目的主机硬件地址的后4个字节；

  目标IP地址（0-3字节）：目的主机的IP地址。

5.ARP缓存

避免重复的请求

ARP缓存是个用来储存IP地址和MAC地址的缓冲区，其本质就是一个IP地址-->MAC地址的对应表，表中每一个条目分别记录了网络上其他主机的IP地址和对应的MAC地址。每一个以太网或令牌环网络适配器都有自己单独的表。当地址解析协议被询问一个已知IP地址节点的MAC地址时，先在ARP缓存中查看，若存在，就直接返回与之对应的MAC地址，若不存在，才发送ARP请求向局域网查询。

为使广播量最小，ARP维护IP地址到MAC地址映射的缓存以便将来使用。ARP缓存可以包含动态和静态项目。动态项目随时间推移自动添加和删除。每个动态ARP缓存项的潜在生命周期是10分钟。新加到缓存中的项目带有时间戳，如果某个项目添加后2分钟内没有再使用，则此项目过期并从ARP缓存中删除；如果某个项目已在使用，则又收到2分钟的生命周期；如果某个项目始终在使用，则会另外收到2分钟的生命周期，一直到10分钟的最长生命周期。静态项目一直保留在缓存中，直到重新启动计算机为止

6.ARP命令

ARP缓存中包含一个或多个表，它们用于存储IP地址及其经过解析的MAC地址。ARP命令用于查询本机ARP缓存中IP地址-->MAC地址的对应关系、添加或删除静态对应关系等。如果在没有参数的情况下使用，ARP命令将显示帮助信息。

常见用法

arp -a或arp –g

用于查看缓存中的所有项目。-a和-g参数的结果是一样的，多年来-g一直是UNIX平台上用来显示ARP缓存中所有项目的选项，而Windows用的是arp -a（-a可被视为all，即全部的意思），但它也可以接受比较传统的-g选项。

arp -a Ip

如果有多个网卡，那么使用arp -a加上接口的IP地址，就可以只显示与该接口相关的ARP缓存项目。

arp -s Ip 物理地址

可以向ARP缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。

arp -d Ip

使用该命令能够人工删除一个静态项目

7.ARP攻击和ARP欺骗

都是根据ARP应答来实施的

1.ARP攻击

• 伪造ARP应答报文，向被攻击主机响应虚假的MAC地址

• 当被攻击主机进行网络通信的时候，会将数据交给虚假的MAC地址进行转发，由于虚假的MAC地址不存在，所以造成被攻击主机无法访问网络

2.ARP欺骗

• 欺骗网关

  双向欺骗，返回主机A的mac地址为自己的，返回网关的mac地址也为自己，因此主机A访问路由器ip的时候，就发送到了主机C。而此时路由器也误认为主机C为主机A

• 欺骗主机

  类似于欺骗网关，只不过此时将路由器换为了主机B，即主机A误认为主机C为主机B，而同样的主机误认为主机C为主机A

8.实施ARP攻击与欺骗

1.环境

• Kali Linux

  使用工具 arpspoof：是dsniff下的一个ARP欺骗工具

  其他可选择工具 driftnet： 用于抓取网络流量中的图片，并将他们显示出来

• 另一台虚拟机

  被攻击主机

2.Kali 配置

Kali Linux 系统是基于debian Linux系统，采用deb包管理方式，可直接使用apt源方式进行从源安装

CentOs 是rpm包管理，yum源

1.配置源

2.安装工具

• dsniff工具（集成了arpspoof）

apt-get install dsniff

• driftnet工具

  apt-get install driftnet
  
  #1、语法
  
  #driftnet [options] [filter code]
  
  #2、options
  
  #           -b         捕获到新的图片时发出嘟嘟声
  
  #           -i          interface     选择监听接口
  
  #           -f          file   读取一个指定pcap数据包中的图片
  
  #           -p        不让所监听的接口使用混杂模式
  
  #           -a        后台模式：将捕获的图片保存到目录中（不会显示在屏幕上）
  
  #           -m      number 指定保存图片数的数目
  
  #           -d       directory  指定保存图片的路径
  
  #           -x        prefix  指定保存图片的前缀名
  
  #3、举例
  
  #            读取一个指定pcap数据包中的图片并保存到/root/drifnet文件夹  
  
  #            driftnet -f /home/linger/backup/ap.pcapng -a -d /root/drifnet/
  
   #            读取监控某一网卡的流量图片数据，并展示
  
   #            driftnet -i enp0s8  

  

   

  3.被攻击虚拟机配置

• 网络连接为桥接模式

• ping 百度（成功）

 

4.实施ARP攻击

arpspoof -i eth0 -t 192.168.3.192 192.168.3.1

arpspoof   -i   网卡   -t    目标IP    网关
#也可以使用反向欺骗：
arpspoof   -i   网卡   -t    网关    目标IP

192.168.3.192：被攻击主机ip

192.168.3.1：被攻击主机网关

网关查看办法：

Linux :   ip route show（default via字段后面的IP即为网关IP）
		  route -n

 

• 开始攻击

 

此时发现被攻击主机arp缓存的网关ip与mac地址映射已经出现问题（mac地址为kali的）

 

 此时在ping 百度，发现失败

 停止攻击后再次ping 百度（成功）

 

5.实施ARP欺骗

攻击的目的是为了让目标主机不能上网，而欺骗的目的是为了获取目标主机的请求数据

攻击是让被攻击主机把本机当成了网关

欺骗是要进行ip转发，即把被攻击主机的请求转发给路由器，从而让被攻击主机能够正常上网，同时也能得到其数据

• 打开Kali的ip转发功能

cat /proc/sys/net/ipv4/ip_forward
#如果为0就是关闭状态，为1就是打开状态
#所以要修改其中数据
echo 1 > /proc/sys/net/ipv4/ip_forward #>覆盖其中数据

#1.echo > 重定向，如果文件不存在会创建，如果文件中有内容会被覆盖
#2.echo >> 追加重定向，不会覆盖原有内容