ARP (地址解析协议)
即(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
ARP是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系。
1. 物理地址(MAC地址):
又称为硬件地址,长度是48bit,即6Bytes,由16进制的数字表示,前24位叫做组织唯一标志符,是由IEEE的注册管理机构给不同厂家分配的代码,区分了不同的厂家。后24位是由厂家自己分配的,称为扩展标识符。同一个厂家生产的网卡中MAC地址后24位是不同的。MAC地址对应于第二层数据链路层,二层交换设备根据收到的数据帧中的“目的MAC地址”字段来转发数据帧。 网卡的物理地址通常是由网卡生产厂家烧入网卡的ROM中。网络底层的物理传输过程中,是通过物理地址来识别主机的,它一定是全球唯一的。
以太网MAC帧格式: