gratuitous ARP

gratuitous ARP

目录

百科名片

工作过程

应用介绍

种类及作用

漏洞及防范

编辑本段百科名片

Gratuitous ARP也称为免费ARP，无故ARP。Gratuitous ARP不同于一般的APR请求，它并非期待得到ip对应的mac地址，而是当主机启动的时候，将发送一个Gratuitous arp请求，即请求自己的ip地址的mac地址。 ^[1]

编辑本段工作过程

我们可以看到的另一个ARP特性称作免费ARP(GratuitousARP)。它是指主机发送ARP查找自己的IP地址。通常，它发生在系统引导期间进 行接口配置的时候。

（我们用-n选项运行tcpdump命令，打印出点分十进制的地址，而不是主机名）。对于ARP请求中的各字段来说，发送端的协议地址和目的端的协议地 址是一致的：即主机bsdi的地址140.252.13.25。另外，以太网报头中的源地址0:0:c0:6f:2d:40，正如tcpdump命令显示的那样，等于发送端的硬件地址

免费ARP可以有两个方面的作用：

1) 一个主机可以通过它来确定另一个主机是否设置了相同的I P地址。主机bsdi并不希望对此请求有一个回答。但是，如果收到一个回答，那么就会在终端日志上产生一个错误消息“以太网地址a:b:c:d:e:f发送来重复的I P地址”。这样就可以警告系统管理员，某个系统有不正确的设置。

2) 如果发送免费ARP的主机正好改变了硬件地址（很可能是主机关机了，并换了一块接口卡，然后重新启动），那么这个分组就可以使其他主机高速缓存中旧的硬件地址进行相应的更新。一个比较著名的ARP协议事实[Plummer 1982]是，如果主机收到某个I P地址的A R P请求，而且它已经在接收者的高速缓存中，那么就要用ARP请求中的发送端硬件地址（如以太网地址）对高速缓存中相应的内容进行更新。主机接收到任何ARP请求都要完成这个操作（ARP请求是在网上广播的，因此每次发送ARP请求时网络上的所有主机都要这样做）。

文献[Bhide、Elnozahy和Morgan1991] 中有一个应用例子，通过发送含有备份硬件地址和故障服务器的IP地址的免费ARP请求，使得备份文件服务器可以顺利地接替故障服务器进行工作。这使得所有目的地为故障服务器的报文都被送到备份服务器那里，客户程序不用关心原来的服务 器是否出了故障。

不幸的是，作者却反对这个做法，因为这取决于所有不同类型的客户端都要有正确的ARP协议实现。他们显然碰到过客户端的ARP协议实现与规范不一致的情况。通过检查作者所在子网上的所有系统可以发现，SunOS 4.1.3和4 . 4 B S D在引导时都发送免费ARP，但是SVR4却没有这样做。

编辑本段应用介绍

很多系统都使用双机热备份系统（即一个主用，另一个备用， 如果主用没有问题，备用一直处于空闲状态；如果主用出现问题，备用立刻接管）。假设主用服务器的MAC地址为：1111-1111-1111，备用服务器 的MAC地址为：2222-2222-2222，通过某种软件，两台服务器对外共用一个IP，例如10.10.10.1，这样客户机在需要同服务器进行通 信的时候（第一次通信时ARP的缓存是空的，或至少没有10.10.10.1的MAC地址），先向局域网发送广播ARP请求报文，请求 10.10.10.1这个IP地址的MAC地址，得到主用服务器响应后，将10.10.10.1和对应的MAC地址放入自己的ARP缓存中，然后向这个 IP发送请求就可以进行通信了。如果在通信的过程中，主用服务器突然发生故障，宕机了，这时备用服务器立刻接管10.10.10.1这个IP进行服务，可 是刚才那台客户机的ARP缓存表中10.10.10.1这个IP对应的MAC地址是1111-1111-1111，再往这个MAC地址发送数据包肯定是石 沉大海的，怎样才能让备用接管了服务之后立刻能起作用呢？

我们能想到的方法有两种，一种就是在使用双机热备份系统，接管那个IP的时候，生成一个不依赖于任何一个主机的虚拟MAC地址，接管IP的同时也接管那个 虚拟的MAC地址，这样客户机不需要做任何更改动作，ARP缓存表不变。另外一种就是在接管的同时，接管的服务器对外广播一个ARP报文给所有主机，例如 在刚才的例子中，ARP广播报文的数据字段中源IP地址是10.10.10.1，源MAC地址是2222-2222-2222，目的IP地址也是 10.10.10.1，目的MAC地址也是2222-2222-2222，IP报文的目的地址是FFFF-FFFF-FFFF，这样让所有的广播网络上的 主机接收该报文，并更新自己的ARP缓存表，已告知10.10.10.1这个IP的对应MAC地址已经变为2222-2222-2222，这样，刚才的那 个客户机就能正确地同服务器进行通信了。

这种方法在大多数系统中已经被采用，例如Cisco的HSRP技术中，虚拟出来的MAC地址是以0000-0c07-ac+ HSRP的group ID组成，并且限制局域网上不会存在不同应用的相同Group ID，以确保局域网上不会重复MAC地址生成。在VRRP中也是如此，原理和HSRP同。这样无论主备用如何切换，客户机不需要做任何动作。

第二种方法就是免费ARP技术（Gratuitous ARP），应用也很广泛。

编辑本段种类及作用

第一种就是刚才上面所说的宣告广播的作用，以告诉整个广播域，这个IP所对应的MAC地址是什么。

第二种是看看广播域内有没有别的主机使用自己的IP，如果使用了，则在界面上弹出“IP冲突”字样。普通ARP请求报文广播发送出去，广播域内所有主机都 接收到，计算机系统判断ARP请求报文中的目的IP地址字段，如果发现和本机的IP地址相同，则将自己的MAC地址填写到该报文的目的MAC地址字段，并 将该报文发回给源主机。所以只要发送ARP请求的主机接收到报文，则证明广播域内有别的主机使用和自己相同的IP地址（这里不考虑路由器的ARP代理问 题）。免费ARP的报文发出去是不希望收到回应的，只希望是起宣告作用；如果收到回应，则证明对方也使用自己正使用的IP地址。

在所有网络设备（包括计算机网卡）up的时候，都会发送这样的免费ARP广播，以宣告并确认有没有冲突。

下面举一个免费arp报文的例子。

报文如下

0000 ff ff ff ff ff ff 00 00 5e 00 01 ea 08 06 00 01

0010 08 00 06 04 00 01 00 00 5e 00 01 ea 86 4a ea 01

0020 00 00 5e 00 01 ea 86 4a ea 01 00 00 00 00 00 00

0030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

0040 00 00 00 00

报文中前48位是报文发送的目的MAC地址。

ff ff ff ff ff ff说明前48位都为1，表示这是一个局域网广播地址；

00 00 5e 00 01 ea是数据包发送的源MAC地址；

08 06表示为数据包类型为arp数据包；

00 01表示这是一个以太网数据包；

08 00表示为IP协议，6是硬件地址长度，4为协议地址长度；

00 01表示是ARP请求报文；

00 00 5e 00 01 ea发送者MAC地址；

86 4a ea 01（转换成十进制是134.74.234.1）是发送者的协议地址（由于协议是IP，所以这是IP地址）；

86 4a ea 01是被请求的协议地址（可以看到请求的地址就是自身的IP地址）；

00 00 5e 00 01 ea是被请求的MAC地址，正常情况下，如果不是免费ARP，这里应该为全0，在响应的时候，由目的主机来填写，但是在免费ARP的请求报文中，这里已经自动填写上自身的MAC地址。 ^[2]

编辑本段漏洞及防范

根据上述第一种作用能发现免费ARP带来的漏洞，因为局域网上都没有安全的认证系统，所以任何主机都可以发送这样的免费ARP广播，这样就会出现 MAC地址欺骗。假如某银行系统局域网内有服务器A，客户机B和客户机C，客户机B正在向服务器提交当天的信用卡消费和账号信息（通过某种安全通信机制进 行通信，确保客户机C是无法接收到两者之间传输的数据包的），这时客户机C（攻击者）向局域网内发送了一个免费ARP广播，其源IP地址为服务器A的地 址，源MAC地址为客户机C自己的MAC地址。客户机B收到这样的报文后，会将自己ARP缓存中服务器A的MAC地址改为客户机C的MAC地址，这就形成 了MAC地址欺骗，这样客户机B会将所有该发给服务器A的信息都发送给客户机C，C在通过抓包分析就知道了很多不该知道的信息。通常为了确保A不再发送信 息给B以改变B的ARP缓存里A的IP对应的MAC地址，C可以通过其他手段先将A工具瘫痪。这样就放心大胆地进行欺骗了。这是至今都很流行的攻击手段之 一。

针对该攻击没都有很好的防范手段，当前使用的方法有：

1. 设置MAC地址和IP地址绑定。

2. 将交换机上某些端口设置为信任端口，来自这些端口的请求认为是可靠的，予以转发，其他的不转发。

其实我们很多设备的漏洞都是这样产生的，为了解决一个问题，引入一项新的机制，但是通常由于缺乏全面的系统分析机制，没能对该项技术进行全方位的论证和考虑，导致了该技术存在一定的缺陷，引起系统的故障，然后在后继的过程中，只有通过打补丁或再引入其他机制进行预防。