网管应用--arp相关

转自：http://bbs.hackline.net/archiver/tid-647.html

网络安全0基础9之arp命令

[i=s] 本帖最后由 udb311 于 2009-3-14 08:13 编辑 [/i]

　　我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。

一、什么是ARP协议
ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

二、ARP协议的工作原理
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如附表所示。
附表

我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。
注：ARP缓存表重启时会自动清空。

三、如何查看ARP缓存表
ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了，如
C:/Documents and Settings/Administrator>arp -a
Interface: 192.168.10.78 --- 0x2
  Internet Address      Physical Address      Type
  192.168.10.1          00-08-9f-1c-85-b3     dynamic
用“arp -d”命令可以删除ARP表中某一行的内容；用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。
如何实现ARP协议的欺骗技术和相应的对策

　　 1，ARP协议欺骗技术

　　 当我们设定一个目标进行ARP欺骗时，也就是把MAC地址通过一主机A发送到主机B上的数据包都变成发送给主机C的了，如果C能够接收到A发送的数据包后，第一步属于嗅探成功了，而对于主机A来目前是不可能意识到这一点，主机C接收到主机A发送给主机B的数据包可没有转交给B。当进行ARP重定向。打开主机C的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。但是这就是ARP协议欺骗真正的一步，假如主机C进行发送ICMP重定向的话就麻烦了，因为他可以直接进行整个包的修改转发，捕获到主机A发送给的数据包，全部进行修改后再转发给主机B，而主机B接收到的数据包完全认为是从主机A发送来的。这样就是主机C进行ARP协议欺骗技术，对于网络安全来是很重要的。当然还可以通过MAC地址进行欺骗的。

　　 2，ARP协议欺骗技术相应对策

　　 各种网络安全的对策都是相对的，主要要看网管平时对网络安全的重视性了。下面介始一些相应的对策：

　　 1) 在系统中建立静态ARP表 ,建立后对本身自已系统影响不大的，对网络影响较大，破坏了动态ARP解析过程。静态ARP协议表不会过期的，我们用“arp -d”命令清除ARP表，即手动删除。但是有的系统的静态ARP表项可以被动态刷新，如Solaris系统,那样的话依靠静态ARP表项并不能对抗ARP欺骗攻击，相反纵容了ARP欺骗攻击，因为虚假的静态ARP表项不会自动超时消失。当然， 可以考虑利用cron机制补救之。(增加一个crontab) 为了对抗ARP欺骗攻击，对于Solaris系统来说，应该结合"禁止相应网络接口做ARP解 析"和"使用静态ARP表"的设置

　　 2)在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击)，可以做静态ARP协议设置(因为对方不会响应ARP请求报文) 如：arp -s XXX.XXX.XX.X 08-00-20-a8-2e-ac

　　在绝大多数操作系统如：Unix，BSD，NT等，都可以结合"禁止相应网络 接口做ARP解析"和"使用静态ARP表"的设置来对抗ARP欺骗攻击。而Linux系统，其静态ARP表项不会被动态刷新，所以不需要"禁止相应网络接口做ARP解析"即可对抗ARP欺骗攻击。

　　 结尾：本文还较深入和直观地介绍了ARP协议的基本原理与基本工作过程及ARP欺骗技术。以及其对策，如果你有什么更好的ARP欺骗技术的对策，欢迎交流。谢谢。
安全防范方法：现在网络中对这种ARP欺骗的手段主要有两种。
1、        绑定网关，可以使用工具或者批处理运行。
2、        安装ARP防火墙，常用360safe.