網(wǎng)絡(luò)ARP技術(shù)08082107馮曉晨08082108柯晶晶08082109蔣曉飛什么是ARP？地址解析協(xié)議（AddressResolutionProtocol，ARP）是在僅知道主機的IP地址時確定其物理地址的一種協(xié)議。那么ARP和RARP的工作原理是什么呢？RARP的工作原理：1.發(fā)送主機發(fā)送一個本地的RARP廣播，在此廣播包

中，聲明自己的MAC地址并且請求任何收到此請求的RARP服務(wù)器分配一個IP地址；2.本地網(wǎng)段上的RARP服務(wù)器收到此請求后，檢查其RARP列表，查找該MAC地址對應(yīng)的IP地址；

3.如果存在，RARP服務(wù)器就給源主機發(fā)送一個響應(yīng)數(shù)據(jù)包并將此IP地址提供給對方主機使用；4.如果不存在，RARP服務(wù)器對此不做任何的響應(yīng)；

5.源主機收到從RARP服務(wù)器的響應(yīng)信息，就利用得到的IP地址進行通訊；如果一直沒有收到RARP服務(wù)器的響應(yīng)信息，表示初始化失敗ARP的地址解析是什么呢？

為什么要進行ARP的地址解析呢？1.使用ARP協(xié)議的目的：IP--ARP-->物理地址？2.使用ARP協(xié)議的原因：n(1)不管網(wǎng)絡(luò)層使用的是什么協(xié)議，在實際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時，最終還是必須使用硬件地址。(2)每一個主機都設(shè)有一個ARP高速緩存(ARPcache)，里面有所在的局域網(wǎng)上的各主機和路由器的IP地址到硬件地址的映射表（命令，arp-a或arp-g——用于查看高速緩存中的所有項目）。(3)當主機A欲向本局域網(wǎng)上的某個主機B發(fā)送IP數(shù)據(jù)報時，就先在其ARP高速緩存中查看有無主機B的IP地址。如有，就可查出其對應(yīng)的硬件地址，再將此硬件地址寫入MAC幀，然后通過局域網(wǎng)將該MAC幀發(fā)往此硬件地址。(4)為什么我們不直接使用硬件地址進行通信3.ARP的工作示意圖ARP協(xié)議是“AddressResolutionProtocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?，幀里面是有目標主機的MAC地址的。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設(shè)備的IP地址，查詢目標設(shè)備的MAC地址，以保證通信的順利進行。所以說從某種意義上講ARP協(xié)議是工作在更低于IP協(xié)議的協(xié)議層。這也是為什么ARP欺騙更能夠讓人在神不知鬼不覺的情況下出現(xiàn)網(wǎng)絡(luò)故障，他的危害更加隱蔽。

什么是ARP協(xié)議首先我們可以肯定一點的就是發(fā)送ARP欺騙包是通過一個惡毒的程序自動發(fā)送的，正常的TCP/IP網(wǎng)絡(luò)是不會有這樣的錯誤包發(fā)送的，而人工發(fā)送又比較麻煩。也就是說當黑客沒有運行這個惡毒程序的話，網(wǎng)絡(luò)上通信應(yīng)該是一切正常的，保留在各個連接網(wǎng)絡(luò)計算機上的ARP緩存表也應(yīng)該是正確的，只有程序啟動開始發(fā)送錯誤ARP信息以及ARP欺騙包時才會讓某些計算機訪問網(wǎng)絡(luò)出現(xiàn)問題。接下來我們來闡述下ARP欺騙的原理.*總結(jié):ARP欺騙是把自己的MAC地址偽造成網(wǎng)關(guān)的地址來欺騙其它的主機ARP欺騙的原理ARP欺騙的原理第一步：假設(shè)這樣一個網(wǎng)絡(luò)，一個Hub或交換機連接了3臺機器，依次是計算機A，B，C。A的地址為：IP：192.168.1.1MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：192.168.1.2MAC:BB-BB-BB-BB-BB-BBC的地址為：IP：192.168.1.3MAC:CC-CC-CC-CC-CC-CC第二步：正常情況下在A計算機上運行ARP-A查詢ARP緩存表應(yīng)該出現(xiàn)如下信息。Interface:192.168.1.1onInterface0x1000003InternetAddressPhysicalAddressType192.168.1.3CC-CC-CC-CC-CC-CCdynamic第三步：在計算機B上運行ARP欺騙程序，來發(fā)送ARP欺騙包。

B向A發(fā)送一個自己偽造的ARP應(yīng)答，而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.1.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應(yīng)答，就會更新本地的ARP緩存（A可不知道被偽造了）。而且A不知道其實是從B發(fā)送過來的，A這里只有192.168.1.3（C的IP地址）和無效的DD-DD-DD-DD-DD-DDmac地址。第四步：欺騙完畢我們在A計算機上運行ARP-A來查詢ARP緩存信息。你會發(fā)現(xiàn)原來正確的信息現(xiàn)在已經(jīng)出現(xiàn)了錯誤。Interface:192.168.1.1onInterface0x1000003InternetAddressPhysicalAddressType192.168.1.3DD-DD-DD-DD-DD-DDdynamic

從上面的介紹我們可以清楚的明白原來網(wǎng)絡(luò)中傳輸數(shù)據(jù)包最后都是要根據(jù)MAC地址信息的，也就是說雖然我們?nèi)粘Ｍㄓ嵍际峭ㄟ^IP地址，但是最后還是需要通過ARP協(xié)議進行地址轉(zhuǎn)換，將IP地址變?yōu)镸AC地址。而上面例子中在計算機A上的關(guān)于計算機C的MAC地址已經(jīng)錯誤了，所以即使以后從A計算機訪問C計算機這個192.168.1.3這個地址也會被ARP協(xié)議錯誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的。問題也會隨著ARP欺騙包針對網(wǎng)關(guān)而變本加厲，當局域網(wǎng)中一臺機器，反復向其他機器，特別是向網(wǎng)關(guān)，發(fā)送這樣無效假冒的ARP應(yīng)答信息包時，嚴重的網(wǎng)絡(luò)堵塞就會開始。由于網(wǎng)關(guān)MAC地址錯誤，所以從網(wǎng)絡(luò)中計算機發(fā)來的數(shù)據(jù)無法正常發(fā)到網(wǎng)關(guān)，自然無法正常上網(wǎng)。這就造成了無法訪問外網(wǎng)的問題，另外由于很多時候網(wǎng)關(guān)還控制著我們的局域網(wǎng)LAN上網(wǎng)，所以這時我們的LAN訪問也就出現(xiàn)問題了。什么是ARP攻擊？

ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一個人感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙手段”截獲所在網(wǎng)絡(luò)內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。遭受ARP攻擊后現(xiàn)象ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：1.使用局域網(wǎng)時會突然掉線，過一段時