ARP协议——地址解析协议

概念

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。

基本思想

• 在每台主机中设置专用内存区域，称为ARP高速缓存（ARP表），存储该主机所在局域网中其他主机和路由器（即默认网关）的IP地址与硬件地址的映射关系，表中IP地址与MAC地址一一对应，并且这个映射表经常更新。ARP是通过广播寻找目的IP对应的MAC地址，即知道本网内某主机的IP地址可以查询得到其对应的硬件地址。

工作过程

• 主机A的IP地址为192.168.1.1，MAC地址为0A-11-22-33-44-01；

• 主机B的IP地址为192.168.1.2，MAC地址为0A-11-22-33-44-02；

• 当主机A要与主机B通信时，地址解析协议可以将主机B的IP地址（192.168.1.2）解析成主机B的MAC地址，以下为工作流程：

  • 第1步：根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。
  • 第2步：如果主机A在ARP缓存中没有找到映射，它将询问192.168.1.2的硬件地址，从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。
  • 第3步：主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。
  • 第4步：主机B将包含其MAC地址的ARP回复消息直接发送回主机A。
  • 第5步：当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的，生存期结束后，将再次重复上面的过程。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了。

ARP缓存

• ARP缓存是个用来储存IP地址和MAC地址的缓冲区，其本质就是一个IP地址–>MAC地址的对应表，表中每一个条目分别记录了网络上其他主机的IP地址和对应的MAC地址。

ARP欺骗攻击

• 通过伪造ARP响应报文，向广播ARP查询请求的主机提供虚假的IP地址与MAC地址的对应关系，致使被攻击主机使用错误的MAC地址发送数据帧。

• ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者主要持续不断地发出伪造的ARP响应包，就能更改目标主机ARP缓存中的IP->MAC条目，造成网络中断。

• ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其他计算机的通信信息，并因此造成网内其他计算机的通信故障。

• 攻击原理

  • 攻击者向电脑A发送一个伪造的ARP响应，告诉电脑A：电脑B的IP地址192.168.0.2对应的MAC地址是00-aa-00-62-c6-03，电脑A信以为真，将这个对应关系写入自己的ARP缓存表中，以后发送数据时，将本应该发往电脑B的数据发送给了攻击者。同样的，攻击者向电脑B也发送一个伪造的ARP响应，告诉电脑B：电脑A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03，电脑B也会将数据发送给攻击者。至此攻击者就控制了电脑A和电脑B之间的流量，他可以选择被动地监测流量，获取密码和其他涉密信息，也可以伪造数据，改变电脑A和电脑B之间的通信内容。

ARP和RARP协议

• ARP和RARP协议进行IP与MAC地址解析，是介于网络层和数据链路层之间，网络层使用IP地址，数据链路层使用MAC地址，ARP和RARP协议实现两个地址之间的映射。

• ARP协议实现的是根据被查询主机的IP地址解析其MAC地址的功能，即：IP地址->RARP->硬件地址。

• RARP是逆向地址解析协议，基于自己的MAC地址，申请其IP地址，即：硬件地址->RARP->IP地址。RARP协议模卡很少用，其功能已被DHCP（动态主机配置协议）取代。

• 默认ARP和RARP协议属于网络层，也有认为其属于数据链路层。

DHCP如何取代RARP功能（DHCP分配IP地址）

• 自动分配方式：DHCP服务器为主机指定一个永久性的IP地址，一旦DHCP客户端第一次成功从DHCP服务器端租用到IP地址后，就可以永久性的使用该地址。

• 动态分配方式（Dynamic Allocation），DHCP服务器给主机指定一个具有时间限制的IP地址，时间到期或主机明确表示放弃该地址时，该地址可以被其他主机使用。

• 手工分配方式（Manual Allocation），客户端的IP地址是由网络管理员指定的，DHCP服务器只是将指定的IP地址告诉客户端主机。