计网——ARP

一、ARP的定义及作用

ARP（Address Resolution Protocol）是一个用于将IP地址映射到物理网络地址（MAC地址）的协议。在计算机网络中，每个设备都有一个唯一的MAC地址和IP地址，而ARP协议允许设备通过IP地址找到对应的MAC地址，以便进行通信。

ARP协议的作用是将网络层（IP层）的地址映射到数据链路层（MAC层）的地址，以确保数据包能够正确地传递。

当一个设备需要与另一个设备通信时：

• 首先使用ARP协议在本地网络中查找目标设备的MAC地址。

  • 如果目标设备的MAC地址已知，则数据包将直接发送到该地址。

  • 如果目标设备的MAC地址未知，则ARP协议将广播一个请求，以请求目标设备回复其MAC地址。

• 一旦ARP请求得到答复，设备就可以使用该MAC地址进行通信。

二、ARP报文格式

ARP报文分为ARP请求和ARP应答报文，报文格式如图所示：

• 硬件类型：表示硬件地址的类型。它的值为1表示以太网地址；

• 协议类型：表示要映射的协议地址类型。它的值为0x0800即表示IP地址；

• 硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度，以字节为单位。对于以太网上IP地址的ARP请求或应答来说，它们的值分别为6和4；

• 操作类型（OP）：1表示ARP请求，2表示ARP应答；

• 发送端MAC地址：发送方设备的硬件地址；

• 发送端IP地址：发送方设备的IP地址；

• 目标MAC地址：接收方设备的硬件地址。

• 目标IP地址：接收方设备的IP地址。

三、ARP的工作原理

ARP（Address Resolution Protocol）是一种用于将IP地址转换为MAC（Media Access Control）地址的协议，它在局域网内用于实现IP地址与物理硬件地址之间的映射。其工作原理如下：

1. ARP请求（ARP Request）： 当一个设备（主机A）需要知道目标设备（主机B）的MAC地址时，它会在本地局域网内发送一个ARP请求广播。ARP请求中包含了主机A的IP地址、MAC地址以及要找到的目标IP地址。

2. 目标主机响应（ARP Reply）： 收到ARP请求的所有设备都会接收这个广播消息，但只有目标主机B会检查是否与自己的IP地址相匹配。如果目标主机B的IP地址与ARP请求中的目标IP地址相符，它会向主机A发送一个ARP响应，其中包含了自己的MAC地址。

3. 获取物理地址： 主机A收到目标主机B的ARP响应后，将目标主机B的IP地址与MAC地址进行映射，并将其存储在本地的ARP缓存表中。这样，以后主机A需要与目标主机B进行通信时，就可以直接查找本地的ARP缓存表，获得目标主机B的MAC地址，从而实现通信。

4. 更新ARP缓存表： ARP缓存表中的IP地址与MAC地址映射是有限期的，通常在几分钟到几小时之间。如果目标主机B的MAC地址发生了变化，主机A在下次通信时会重新发送ARP请求，更新ARP缓存表。

总结：ARP协议的工作原理通过广播的方式在局域网内寻找目标主机的MAC地址。当一个设备需要与另一个设备通信时，它会发送ARP请求广播，目标设备收到后返回一个ARP响应，包含自己的MAC地址。发送方设备将目标设备的IP地址与MAC地址映射存储在本地的ARP缓存表中，以便将来直接查找目标设备的MAC地址，从而实现通信。

四、ARP的请求和应答

ARP（Address Resolution Protocol）请求和应答是ARP协议中的两种基本数据包类型，它们分别用于请求和获取目标主机的MAC地址。

1. ARP请求（ARP Request）：当主机A需要发送数据包到主机B时，它会首先检查自己的ARP缓存中是否有主机B的MAC地址。如果ARP缓存中没有主机B的MAC地址，主机A就会发送一个ARP请求广播，该请求包含主机A想要与之通信的目标主机B的IP地址。其中，硬件类型和协议类型分别表示数据链路层和网络层协议的类型；硬件地址长度和协议地址长度分别表示数据链路层和网络层地址的长度；操作码为1表示这是一个ARP请求；发送方MAC地址和发送方IP地址分别表示发送ARP请求的主机的MAC地址和IP地址；目标MAC地址和目标IP地址分别表示待查询的目标主机的MAC地址和IP地址。

2. ARP应答（ARP Reply）：当目标主机B收到ARP请求后，它会检查自己的IP地址是否与请求中的目标IP地址相同。如果是，它就会向主机A发送一个ARP应答，该应答包含主机B的MAC地址。其中，各字段的含义与ARP请求相同，只是操作码变为2，表示这是一个ARP应答；并且发送方MAC地址和发送方IP地址分别表示主机B的MAC地址和IP地址，目标MAC地址和目标IP地址分别表示发送ARP请求的主机A的MAC地址和IP地址。

总之，ARP请求和应答是ARP协议中的两种基本数据包类型，它们通过广播和单播的方式实现了IP地址与MAC地址的映射，是实现网络通信的必要步骤。

五、ARP的安全性

ARP协议的安全性相对较低，存在被恶意利用的风险。由于ARP协议不使用任何身份验证机制，因此攻击者可以伪造ARP请求或ARP应答消息，欺骗网络中的其他设备，从而实现各种攻击行为。

5.1 可能的ARP攻击类型

以下是一些可能的ARP攻击类型：

1. ARP欺骗（ARP Spoofing）：攻击者发送伪造的ARP应答消息，将自己的MAC地址伪装成目标设备的MAC地址，从而导致网络中的数据流向攻击者的设备。这种攻击方式可以用于监听、中间人攻击等目的。

2. ARP洪泛（ARP Flooding）：攻击者发送大量的ARP请求消息，使网络中的所有设备都需要响应，从而导致网络拥堵或崩溃。

3. ARP缓存中毒（ARP Cache Poisoning）：攻击者向目标设备发送伪造的ARP请求消息，将自己的MAC地址伪装成目标设备的MAC地址，并将目标设备的IP地址与自己的MAC地址映射关系存储到目标设备的ARP缓存表中，从而实现黑客攻击或监听目的。

5.2 ARP欺骗是什么，如何防止ARP欺骗攻击

ARP欺骗（ARP Spoofing）是一种网络攻击技术，攻击者通过伪造或篡改ARP数据包，欺骗网络中的其他设备，使它们将数据包发送到错误的目的地。ARP欺骗攻击可以导致网络中的数据包被截获、篡改或窃取，从而危及网络的安全和稳定性。

ARP欺骗攻击的防范措施主要包括以下几个方面：

1. 使用静态ARP表：静态ARP表是手动设置的ARP缓存表，可以将IP地址和MAC地址的映射关系固定下来，从而防止ARP欺骗攻击。但是，静态ARP表需要手动维护，不适用于大型网络环境。

2. 使用动态ARP检测工具：动态ARP检测工具可以检测网络中的ARP请求和应答，发现异常的ARP数据包，并且自动更新ARP缓存表。常用的动态ARP检测工具包括ARPWatch、XArp等。

3. 禁用ARP广播：ARP广播可以让所有网络中的设备看到ARP请求和应答，从而容易受到ARP欺骗攻击。因此，禁用ARP广播可以有效防止ARP欺骗攻击。但是，禁用ARP广播会导致网络中的设备无法自动更新ARP缓存表，因此需要手动进行ARP表的维护。

4. 使用网络设备的安全功能：网络设备如路由器、交换机等，通常都具有一些安全功能，如端口隔离、MAC地址过滤等，可以有效防止ARP欺骗攻击。通过配置这些安全功能，可以限制网络中的设备之间的通信，从而提高网络的安全性。

总之，ARP欺骗是一种常见的网络攻击技术，可以通过静态ARP表、动态ARP检测工具、禁用ARP广播、使用网络设备的安全功能等多种手段进行防范。在实际应用中，需要根据具体的网络环境和安全需求，选择适当的防范措施。

5.2 如何防止ARP攻击

为了防止ARP攻击，可以采取以下措施：

1. 使用静态ARP表：静态ARP表是一种手动配置的ARP表，可以将预先知道的IP地址和MAC地址映射关系手动存储到ARP表中，从而避免恶意的ARP攻击。

2. 使用ARP缓存定时器：ARP缓存定时器可以定期清理ARP缓存表中的过期映射关系，从而防止ARP缓存中毒攻击。

3. 使用安全ARP协议（Secure ARP）：安全ARP协议是一种增强版的ARP协议，可以在ARP请求和ARP应答消息中添加身份验证机制，从而防止ARP攻击。但是，由于安全ARP协议的使用需要网络中所有设备的支持，因此在实际应用中比较困难。

4. 使用网络设备：网络设备，如交换机、路由器等，可以实现ARP请求和ARP应答的过滤和防护，从而提高网络的安全性。

六、ARP缓存中保存哪些信息，如何更新

ARP缓存（ARP Cache）是一个存储网络层地址（如IP地址）与数据链路层地址（如MAC地址）之间映射关系的表格，用于加快数据包的转发和提高网络的性能。ARP缓存中保存的信息包括：

1. IP地址：表示网络层的地址，用于标识网络中的主机或路由器。

2. MAC地址：表示数据链路层的地址，用于标识网络中的设备（如网卡）。

3. 时间戳：表示最后一次使用该映射关系的时间，用于判断该映射关系是否过期。

ARP缓存中的信息可以通过以下两种方式进行更新：

1. 主动更新：当主机发送数据包时，会检查ARP缓存中的目标IP地址是否存在对应的MAC地址。如果存在，主机就可以直接发送数据包，否则主机会发送一个ARP请求，请求目标主机提供对应的MAC地址。目标主机收到ARP请求后，会向主机回复一个ARP应答，包含自己的MAC地址。主机收到ARP应答后，会将目标IP地址和MAC地址的映射关系存储到自己的ARP缓存中。

2. 被动更新：当主机接收到其他主机发送的数据包时，会检查数据包的目标IP地址是否存在对应的MAC地址。如果存在，主机就可以直接转发数据包，否则主机会发送一个ARP请求，请求目标主机提供对应的MAC地址。目标主机收到ARP请求后，会向主机回复一个ARP应答，包含自己的MAC地址。主机收到ARP应答后，会将目标IP地址和MAC地址的映射关系存储到自己的ARP缓存中。

ARP缓存中的映射关系有时会因为网络拓扑结构的变化、设备的更换等原因而失效。为了避免失效的映射关系对网络性能产生影响，ARP缓存中的信息需要定期进行更新。具体来说，ARP缓存中的映射关系通常会设置一个时间戳，当映射关系的时间戳超过一定时间时，该映射关系就会被认为是过期的，需要重新获取。ARP缓存中的信息更新策略可以根据实际情况进行调整，以满足网络性能和安全的需求。

七、ARP和RARP的区别

ARP（Address Resolution Protocol）和RARP（Reverse Address Resolution Protocol）是两种不同的协议，它们的主要区别在于它们解决的问题不同。

1. ARP：ARP是一种用于获取目标设备的MAC地址的协议。当一个设备需要向另一个设备发送数据包时，它需要知道目标设备的MAC地址。ARP协议可以通过广播请求获取目标设备的IP地址对应的MAC地址，从而实现数据包的正确发送。

2. RARP：RARP是一种用于获取设备的IP地址的协议。与ARP不同，RARP是将MAC地址转换为IP地址。RARP通常用于无磁盘工作站（Diskless Workstation），这些工作站没有自己的硬盘，需要从网络上的服务器上获取操作系统等启动信息。RARP协议可以让无磁盘工作站向RARP服务器发送请求，获取自己的IP地址。

总结：ARP用于获取目标设备的MAC地址，而RARP用于获取设备的IP地址。同时，需要注意的是，RARP协议已经被DHCP（Dynamic Host Configuration Protocol）协议所取代，因为DHCP可以不仅可以分配IP地址，还可以分配其他网络配置信息，如子网掩码、网关地址等。