ARP協(xié)議簡(jiǎn)介,1,一、ARP概念,ARP（AddressResolutionProtocol），即地址解析協(xié)議，是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。在TCP/IP協(xié)議中，每一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)是用IP地址標(biāo)識(shí)的，IP地址是一個(gè)邏輯地址。而在以太網(wǎng)中數(shù)據(jù)包是靠48位MAC地址（物理地址）尋址的。因此，必須建立IP地址與MAC地址之間的對(duì)應(yīng)關(guān)系，ARP協(xié)議就是為完成這個(gè)工作而設(shè)計(jì)的。,為什么要用ARP協(xié)議,2,二、ARP工作過(guò)程,主機(jī)A的IP地址為192.168.1.1，MAC地址為0A-11-22-33-44-01；主機(jī)B的IP地址為192.168.1.2，MAC地址為0A-11-22-33-44-02；當(dāng)主機(jī)A要與主機(jī)B通信時(shí)，地址解析協(xié)議可以將主機(jī)B的IP地址（192.168.1.2）解析成主機(jī)B的MAC地址，以下為工作流程：,3,二、ARP工作過(guò)程,第一步：根據(jù)主機(jī)A上的路由表內(nèi)容，確定用于訪問(wèn)主機(jī)B的轉(zhuǎn)發(fā)IP地址是192.168.1.2。然后A主機(jī)在自己的本地ARP緩存中檢查主機(jī)B的匹配MAC地址，發(fā)現(xiàn)沒(méi)有主機(jī)B的MAC地址。,主機(jī)A：192.168.1.1,主機(jī)B：192.168.1.2,主機(jī)C：192.168.1.3,主機(jī)D：192.168.1.4,ARPCacheInternetAdressPhysicalAdressType,4,二、ARP工作過(guò)程,第二步：主機(jī)A將ARP請(qǐng)求幀廣播道本地網(wǎng)絡(luò)上的所有主機(jī)，主機(jī)A的IP地址和MAC地址都包括在ARP請(qǐng)求中。本地網(wǎng)絡(luò)上的每臺(tái)主機(jī)都接收到ARP請(qǐng)求，并檢查是否與自己的IP地址匹配。如果主機(jī)發(fā)現(xiàn)請(qǐng)求的IP地址與自己的IP地址不匹配，它將丟棄ARP請(qǐng)求。,主機(jī)A：192.168.1.1,主機(jī)C：192.168.1.3,主機(jī)D：192.168.1.4,我需要192.168.1.2的MAC地址,主機(jī)B：192.168.1.2,5,二、ARP工作過(guò)程,第三步：主機(jī)B確定ARP請(qǐng)求中的IP地址與自己的IP地址匹配，則將主機(jī)A的IP地址和MAC地址映射添加到本地ARP緩存中，并且將包含其MAC地址的ARP回復(fù)消息直接發(fā)送回主機(jī)A。,主機(jī)B：192.168.1.2,主機(jī)C：192.168.1.3,主機(jī)D：192.168.1.4,我的MAC地址是0A-11-22-33-44-02,主機(jī)A：192.168.1.1,6,二、ARP工作過(guò)程,第四步：當(dāng)主機(jī)A收到從主機(jī)B發(fā)來(lái)的ARP回復(fù)消息時(shí)，會(huì)用主機(jī)B的IP和MAC地址映射更新ARP緩存。本機(jī)緩存是有生存期的，生存期接結(jié)束后，將再次重復(fù)上面的過(guò)程。,10.1.1.2,192.168.1.3,192.168.1.4,ARPCacheInternetAdressPhysicalAdressType192.168.1.20A-11-22-33-44-02Dynamic,7,三、ARP緩存,ARP緩存是個(gè)用來(lái)儲(chǔ)存IP地址和MAC地址的緩沖區(qū)，其本質(zhì)就是一個(gè)IP地址到MAC地址的對(duì)應(yīng)表，表中每一個(gè)條目分別記錄了網(wǎng)絡(luò)上其它主機(jī)的IP地址和對(duì)應(yīng)的MAC地址。為使廣播量最小，ARP維護(hù)IP地址到MAC地址映射的緩存以便將來(lái)使用。ARP緩存可以包含動(dòng)態(tài)和靜態(tài)項(xiàng)目，動(dòng)態(tài)項(xiàng)目通常20分鐘不用將被更新，而靜態(tài)項(xiàng)目一直保留在緩存中，直到重啟計(jì)算機(jī)。,8,四、ARP報(bào)文格式,硬件類型,協(xié)議類型,OP類型,發(fā)送端以太網(wǎng)地址,發(fā)送端IP地址,目的以太網(wǎng)地址,目的IP地址,2,2,2,6,4,6,4,協(xié)議長(zhǎng)度,硬件長(zhǎng)度,1,1,硬件類型：硬件地址類型，以太網(wǎng)為1；協(xié)議類型：指明高層協(xié)議類型。IP為0800；硬件地址長(zhǎng)度和協(xié)議長(zhǎng)度：指明了硬件地址和高層協(xié)議地址的長(zhǎng)度；OP類型：用來(lái)表示這個(gè)報(bào)文的類型，ARP請(qǐng)求為1，ARP響應(yīng)為2，RARP請(qǐng)求為3，RARP響應(yīng)為4；,9,五、ARP命令應(yīng)用,ARP緩存中的表用于存儲(chǔ)IP地址及其經(jīng)過(guò)解析的MAC地址，ARP命令用于查詢本機(jī)ARP緩存中IP地址和MAC地址的對(duì)應(yīng)關(guān)系，添加或刪除靜態(tài)對(duì)應(yīng)關(guān)系等。,Arp-a用于查看緩存中的所有項(xiàng)目；Arp-aIp加上接口的Ip，用于查看與該接口相關(guān)的ARP緩存項(xiàng)目；Arp-sIp物理地址可以向ARP緩存中人工輸入一個(gè)靜態(tài)項(xiàng)目；Arp-dIp使用該命令能夠人工刪除一個(gè)靜態(tài)項(xiàng)目。,10,六、抓包實(shí)例,ARP請(qǐng)求：,11,六、抓包實(shí)例,ARP響應(yīng)：,12,七、目的主機(jī)在其它網(wǎng)段的處理,當(dāng)源主機(jī)判斷目的主機(jī)與自己位于不同網(wǎng)段時(shí)，它會(huì)通過(guò)默認(rèn)網(wǎng)關(guān)（Gateway）來(lái)遞交報(bào)文，即發(fā)送ARP請(qǐng)求來(lái)獲取網(wǎng)關(guān)IP地址對(duì)應(yīng)的MAC，在得到網(wǎng)關(guān)的ARP應(yīng)答后，用網(wǎng)關(guān)MAC作為報(bào)文的目的MAC進(jìn)行報(bào)文發(fā)送。注意，發(fā)送報(bào)文的源IP是源主機(jī)IP，目的IP仍然是目的主機(jī)的IP。如果沒(méi)有配置缺省網(wǎng)關(guān)，網(wǎng)關(guān)收到源計(jì)算機(jī)的ARP請(qǐng)求會(huì)使用自己的MAC地址與目標(biāo)主機(jī)的IP地址對(duì)源計(jì)算機(jī)進(jìn)行應(yīng)答。,網(wǎng)絡(luò),網(wǎng)絡(luò),R2,A,C,B,R1,網(wǎng)絡(luò),13,八、免費(fèi)ARP,免費(fèi)ARP即指主機(jī)發(fā)送ARP目的地址自己的IP地址，通常它發(fā)生在系統(tǒng)引導(dǎo)期間進(jìn)行接口配置的時(shí)候。免費(fèi)ARP與ARP的幀格式主要的區(qū)別在于它的目的IP地址是自己的IP地址。,免費(fèi)ARP可以有兩個(gè)方面的作用：1)一個(gè)主機(jī)可以通過(guò)它來(lái)確定另一個(gè)主機(jī)是否設(shè)置了相同的IP地址。2)發(fā)送免費(fèi)ARP的主機(jī)正好改變了硬件地址，可以更新其他主機(jī)高速緩存中舊的硬件地址。,14,八、免費(fèi)ARP,15,九：對(duì)比RARP,RARP：反向地址轉(zhuǎn)換協(xié)議，是局域網(wǎng)的物理機(jī)器從網(wǎng)關(guān)服務(wù)器的ARP表或者緩存上根據(jù)MAC地址請(qǐng)求IP地址的協(xié)議，其功能與地址解析協(xié)議相反，工作流程也相反。通常計(jì)算機(jī)可以從磁盤的配置文件中直接讀取IP地址，但對(duì)無(wú)盤PC、無(wú)盤工作站等情況下，就需要從RARP的方法獲取自