一、ARP協(xié)議簡介

ARP,全稱AddressResolutionProtoc,ol中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，同

時對上層(網(wǎng)絡(luò)層)提供服務(wù)。

IP數(shù)據(jù)包在局域網(wǎng)中傳輸，網(wǎng)絡(luò)設(shè)備并不識別32位IP地址，它們是以48位以太網(wǎng)地址傳輸

數(shù)據(jù)包，這個以太網(wǎng)地址就是通俗說的網(wǎng)卡地址或者MAC地址。因此，必須把IP目的地址轉(zhuǎn)

換成MAC目的地址。在局域網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標(biāo)

主機的MAC地址。它就是通過ARP協(xié)議(地址解析協(xié)議)獲得的。

1.1ARP的數(shù)據(jù)包結(jié)構(gòu)

ARP的數(shù)據(jù)結(jié)構(gòu)如圖所示：

硬件類型(Hardwaretype)協(xié)議類型(Protocoltyp)e

硬件地址長度(Hlen)協(xié)議長度(Plen)操作類型(operation)

發(fā)送方硬件地址(Senderhardwareaddres9

發(fā)送方協(xié)議地址(Senderprotocoladdres)s

目標(biāo)硬件地址(Targethardwareaddres)s

具體的描述如下：目標(biāo)協(xié)議地址(Targetprotocoladdre)ss

硬件類型字段：指明了發(fā)送方想知道的硬件接口類型，以太網(wǎng)的值為1：

協(xié)議類型字段：指明了發(fā)送方提供的高層協(xié)議類型，IP為0800(16進制);

硬件地址長度和協(xié)議長度：指明了硬件地址和高層協(xié)議地址的長度；

操作字段：用來表示這個報文的類型，ARP請求為1,ARP響應(yīng)為2；

發(fā)送方的硬件地址：源主機硬件地址；

發(fā)送方協(xié)議地址：源主機IP地址：

目的硬件地址：目的主機硬件地址；

目的協(xié)議地址：目的主機的IP地址。

1.2ARP的工作原理

ARP協(xié)議的目的：在同一個網(wǎng)段之中，解釋目標(biāo)主機的MAC地址，并為下一步的與目標(biāo)

IP地址通信做好準(zhǔn)備。

階段A：

由于計算機A不知道計算機B的MAC地址，它會發(fā)送一個ARP請求（request的）廣播包，要求

解釋計算機B的MAC地址。同時它含包含著計算機A的IP地址和MAC地址。

對ARP請求包進行抓包操化，正常的ARP請求包格式如下:

:;SnifferPortableLocal,Ethernet(Linespeedat100Ibps)[ok.ca>:Decode.1/.??二!后僅

aE>ic({cx.xtcr￡e^tvr<[isplayJedsE<”-SX

■Mga*i

a|_J倒列0o■Ql回回劃倒!

JMeICtatu:1SoireeAccfex|Oeat

□?■?i0016D?B?AF2AIlW：C?▲?1192168i31PJT?：FboH

□2OOK2962L9EP00L6D3B2AF^AAEr■<PA?1“1b31”HA?C0X2S5^1^E.PSU?42*

<一一一.^^一―…'-1)

?

IEHAM,1arrived<tlb12532S”；sizeisbO(00JCnex)bytec

11nrLion?BROADCASTFP*FF=FFW^FRn

—Gooxce?Station001G20D2AF2A

Ethert$*pc-080b?,AEP)

TASP1RP/RARTh&y

陽

rv*typ*-?1(10miEth+rnT)

RPr^otoczltypr?CSX(ID

RwrLengtholhard?T?addrece■bbytec

Tr-nythofprtoi>K?1(1E7-4hyt.F

RP

RwrOpcode1(AR?Tcqueot)

^enitoT*ehardvareaddr>?c>001bD3B2AF2A

RP5endBr^protocoladdress?(19216812：

RrTargethairdoaxeaddxoM?003000000030

RF1?Hgtpretoco,addx?cc■(192168.1.3]

RF

Rr如

1Gbvteofxa>epeddinq

曰&

階段B:

計算機B接到該廣播包后，取出A的IP地址和MAC地址,將其添加到本計算機的高速緩存的

地址映射表(IP-MAC地址對照表)中。同時返回單播ARP響應(yīng)(reply)響應(yīng)包中包含B的IP地

址和MAC地址。

同時.，由于計算機A發(fā)送到是廣播，L3交換機也會收到計算機A廣播，同時他也把A的IP

地址和MAC地址添加到IP-MAC(IPARP)對照表之中。

000c295219cd192.168.1.2

EnierpriseLAN

fa

b

的?機A

192.168.1.2

對ARP響應(yīng)包進行抓包操作，正常的ARP響應(yīng)包格式如下:

Portoblo-Local,Ethernet(Lmoapoodat1UUlbp，＞-Lok.00,1Pocodc12/???

Q￡cs4t?rUar?口1C?1B11S44?枷」p

'i|?|啕＞*I[rw*u?▼]

Bwal?l儀㈤儀⑷切寓創(chuàng)聞型畫?|

[MQ]WhM[lowamsL|^nn?)[LryQA

11[T―麗詢位址廠0五三77ART,二PA?：1父】66」31PR)■:E60

00K295219EDC016D3B?AF2AARPRPA-119216813JHA-C0X29521?EDP?50-42*

c.

LLJn--------ULC--------

DLC

cH

DFTMIC2Mrxivcdat1612S326”；frame3：C=13(002AACX)bvtoa

比

mDHh^ctirvitinn■5tAtinnnO16D3B?AF?A

bSogs?StationOOOC295219ED

m

DLCEthortypc-08U6(AHP)

XC

hAFP4?ARPEXOBS

m

HardtfAr*typ**1(10MbFth*rn?t＞

rFiotocoltype?COOQ(ID

mL*nythofh?rd^?T?addr?c?■6bytec

rLengthofprotocoladdress-4bytes

Opcode2(ARTreply)

rbender'?bardv?r?yde“■0。9c295219ED

rjitter'sprotocoJnridEs、-[137IfB13]

rTargetkardvsxecddxess-C01CD3D2AF2A

Targetprotoro.addr?c?■[19216812：

m

\Expert入decode卜wiiS^^Tlskle入FVorcccIGi?t入￡tati?*ca/

FeiFcl$.ptC39Fl

階段c：

計算機A收到計算機B的單播響應(yīng),取出B的1P地址和硬件地址,將其添加到高速緩存的地

址映射表中。

到此為止，計算機A和計算機B就可以正常進行數(shù)據(jù)傳送。

計算機A同其他的計算機通信都是按照上述的原則進行,同理，當(dāng)計算機要進行跨網(wǎng)段通信

時候，首先也要解析網(wǎng)關(guān)（L3switcH的MAC地址，然后由網(wǎng)關(guān)代為轉(zhuǎn)發(fā)。

二、ARP欺騙的方式和原理

要保證網(wǎng)絡(luò)通信的正常，每一個主機高速緩存的地址映射表和交換機的IPARP地址對照表

都是準(zhǔn)確無誤的。任何一臺主機或者交換機的對照表不正常都會或者多或者少地影響網(wǎng)絡(luò)通

信，嚴(yán)重的時候，特殊是整個網(wǎng)關(guān)的MAC學(xué)習(xí)不正常的時候會導(dǎo)致這個網(wǎng)段的主機無法進行

跨網(wǎng)段通信。

ARP的欺騙是多種多樣的，普通按發(fā)送包的形式來說可以分成兩種：

2.1無理(GraGtous)ARP欺騙

無理的ARP請求包，在包的封裝要包含卜.列特征，才算是無理ARP請求包，并會觸發(fā)網(wǎng)絡(luò)設(shè)

備的相應(yīng)操作。

ARP包里面的目標(biāo)MAC地址為廣播地址，即目標(biāo)硬件地址=FF:FF:FF:FF:FF:；

FFARP包里面的源MAC地址為主機地址，即發(fā)送方梆議地址=主機MAC地址：

發(fā)送方協(xié)議地址=目標(biāo)協(xié)議地址，要解析的IP地址。

在正常的網(wǎng)絡(luò)之中，無理ARP請求包用于以下網(wǎng)絡(luò)功能的：

1.檢查有沒有重復(fù)的IP地址：

當(dāng)網(wǎng)絡(luò)設(shè)備在分配了IP地址的時候，首先會發(fā)送一個無理ARP請求，問詢有沒有其他主機在

使用這個0\如果網(wǎng)絡(luò)中有網(wǎng)絡(luò)設(shè)備使用了這個IP，則它就會發(fā)送一個ARP響應(yīng)包給新分配IP的

網(wǎng)絡(luò)設(shè)備，告訴這個IP已經(jīng)被使用，這個時候Windows操作系統(tǒng)會做出一個IP地址沖突的臺警。

如果在規(guī)定的時候內(nèi)沒有收到任何ARP答復(fù)，則本網(wǎng)絡(luò)設(shè)備認為這個IP沒有地址事復(fù)，是可以使

用的。

2.通知網(wǎng)絡(luò)中的其他網(wǎng)絡(luò)設(shè)備更新IPARP地址表(IP-MAC地址對照表)：

上文已經(jīng)提到，當(dāng)網(wǎng)絡(luò)設(shè)備在分配了一個IP地址的時候，首先會發(fā)送一個無理ARP請求，這

個請求包會包含這個網(wǎng)絡(luò)設(shè)備的IP和MAC信息，任何收到此廣播的網(wǎng)絡(luò)設(shè)備將無條件地更新

IPARP地址表。

3.受到無理ARP請求包的交換機都立刻更新MAC和端口的對照表

以下面為例子，計算機A發(fā)送了錯誤的無理ARP請求包，對整個網(wǎng)絡(luò)的影響。

(1)在運行正常的網(wǎng)絡(luò)中，計算機A,計算機B,計算機C都學(xué)到了正確的網(wǎng)關(guān)的MAC地比，跨

網(wǎng)段通信一切正常。

L3SWITCH

LSWIT

計算機A計算機C

192.168.1.2192.168.1.4

(2)計算機A發(fā)送了一個錯誤的無理ARP請求包，向整個網(wǎng)絡(luò)宣告網(wǎng)關(guān)192.168.1.254的MAC地

址為AA:AA:AA:AA:AA:AA。

此時無理ARP請求包的格式為；H標(biāo)硬件地址:FF:FF:FF:FF:FF:；F發(fā)F送方協(xié)議地址:主機

MAC地址=AA:AA:AA:AA:AA:AA：發(fā)送方協(xié)議地址=目標(biāo)協(xié)議地址=192.168.1.254。

(3)網(wǎng)絡(luò)中所有的主機收到這個錯誤無理ARP請求后,都會刷新本機內(nèi)的高速緩存的地址映

射表(IP-MAC地址對照表；，，本網(wǎng)段所有主機都學(xué)習(xí)到了錯誤網(wǎng)關(guān)的MAC地址。主機訪問其

他網(wǎng)段均不正常。

計算機B

192.168.1.3

2.2普通的ARP請求包和ARP響應(yīng)包欺騙

當(dāng)主機向本網(wǎng)絡(luò)發(fā)送ARP請求或者響應(yīng)包時，里面會包含源主機的IP和MAC地址。收到

這個ARP請求包或者響應(yīng)包的任何網(wǎng)絡(luò)設(shè)備都會更新本機的高速緩存的地址映射表。當(dāng)主機向

本網(wǎng)絡(luò)發(fā)送ARP請求或者響應(yīng)，目的地址是廣播地址時，網(wǎng)絡(luò)中的所有主機和網(wǎng)絡(luò)設(shè)備都會

收到這個ARP請求或者響應(yīng)包，其高速緩存的地址映射表立刻更新，網(wǎng)絡(luò)中的所有主機和網(wǎng)

絡(luò)設(shè)備都會學(xué)習(xí)到了錯誤的MAC地址，影響正常的網(wǎng)絡(luò)運行。固然，當(dāng)主機向本網(wǎng)絡(luò)發(fā)送

ARP請求或者響應(yīng)包時，3標(biāo)地址恰恰是單播地址時，那末受到影響的只是這個單播地址的

主機或者網(wǎng)絡(luò)設(shè)備。

(1)在正常的網(wǎng)絡(luò)情況中，交換機和計算機C,計算機D都學(xué)習(xí)到了正確的計算機B的MAC

地址。

計算機A計算機C

192.168.1.3192.168.1.4

(2)計算機A發(fā)送了錯誤的ARP請求或者ARP響應(yīng)，包包含發(fā)送方硬件地址為

AA:AA:AA:AA:AA:AA,發(fā)送方協(xié)議地址為192.168.1.。2包的目標(biāo)地址是廣播地址，本網(wǎng)段所有

網(wǎng)絡(luò)設(shè)備或者主機收到了

這個廣播。

L2

計算機A發(fā)送了錯誤

的ARP請求或者ARP

響應(yīng)，里面包含IP地

JlLfe191168.1..2

MAC地址是

AAAAAAAA,發(fā)送

方的目標(biāo)地址是廣播

地址

(3)網(wǎng)絡(luò)設(shè)備都立刻更新其高速緩存的地址映射表，那末網(wǎng)絡(luò)里面的主機會發(fā)現(xiàn)與計算機的通信

不正常。同時，網(wǎng)關(guān)也學(xué)注到了交換機A錯誤的MAC地址，計算機A的跨網(wǎng)段和同網(wǎng)段的通信

均不正常。

L2

計算機A計算機C

192.168.1.3192.168.1.4

上面描述的是ARP包頭的目標(biāo)地址是廣播的情況。固然，ARP包頭也可能為單播的形式,

那末受到影響只是包頭目標(biāo)地址的這些主機或者網(wǎng)絡(luò)設(shè)備.

三、EXTREME交換機防護ARP欺騙的方法

EXTREME的交換機具有全方面的防護ARP欺騙的機制，保證主機或者網(wǎng)絡(luò)設(shè)備學(xué)習(xí)不到

錯誤的MAC地址。

3.1防范無理(Gratuitous)ARP欺騙。

無理(Graluitous)AR欺P騙有著明顯的特征，ARP包頭的目標(biāo)地址一定為廣播地址，本網(wǎng)絡(luò)

中的任何網(wǎng)絡(luò)設(shè)備都可以接受到。這種ARP欺騙危害很大，也較為常見。。

Extreme的任何交換機都可以做到防止本網(wǎng)絡(luò)的網(wǎng)關(guān)不會被欺騙，最大限度的保證本網(wǎng)絡(luò)的

跨網(wǎng)段工作正常。

當(dāng)無理(GratuitousAR請P求包到達本網(wǎng)絡(luò)網(wǎng)關(guān)時，網(wǎng)關(guān)要求為extreme的交換機，交換機會對

無理(Graiuilous)AR請P求包進行檢查，對ARP請求包的IP和MAC地址項進行核對。一旦發(fā)現(xiàn)

ARP請求包里面包含不正確的關(guān)于本交換機的IP-MAC對照條H時，會對此包進行拋棄，并對

整個網(wǎng)絡(luò)發(fā)送一個正確的無理(Gratuitous)AR責(zé)求包，糾正整個網(wǎng)絡(luò)的設(shè)備中網(wǎng)關(guān)地址的IP-

MAC

對照表。

(1)計算機A發(fā)送了一個惡意的無理(GratuitousARP請求包，企圖竄改本網(wǎng)絡(luò)所有網(wǎng)絡(luò)

設(shè)備的IP-MAC對照表中網(wǎng)關(guān)192.168.1.254正確的MAC地址對照條目。

192.168.1.2192.168.1.4

(2)交換機收到這個錯誤的無理(Gmtuitous)ARP請求包，對這個包進行丟棄，并對整個本網(wǎng)絡(luò)

發(fā)送一個正確的無理(Graiuilous)AR請P求包，糾正己經(jīng)錯誤的網(wǎng)絡(luò)設(shè)備。

MACIP

000496053148192..168..1,,25544

計算機B

192.168.1.3

i卜算機A計算機C

192.168.1.2192.168.1.41------------------------

(3)糾正成功，所有主機或者網(wǎng)絡(luò)設(shè)備都重新學(xué)習(xí)到了正確的條目

在EXTREME中的配置命令為：

enableip-securityarpgratuitous-protection{vlan}[all|<vlan_naine>]

3.2防范ARP請求包和ARP響應(yīng)包欺騙

ARP請求和ARP響應(yīng)的欺騙包種類繁多，封裝的不合法的內(nèi)容也多種多樣。但是，任何

的ARP請求和ARP響應(yīng)欺騙包都有一個特點，就是封裝在包里面硬件地址(Sender

hardwareaddress)和發(fā)送方協(xié)議地址(Senderprotocoladdress)不是正確的對應(yīng)關(guān)系。接受方?旦

收到這個錯誤的ARP包，就會更新到錯誤的IP-MAC對照表。

在當(dāng)前復(fù)雜的局域網(wǎng)環(huán)境中，不合法的ARP請求包和ARP響應(yīng)包已經(jīng)很常見，通過傳統(tǒng)簡

單的ARP的學(xué)習(xí)已經(jīng)不能保證交換機能學(xué)習(xí)到正確IP-MAC的對應(yīng)關(guān)系。

Extreme的交換機可以通過DHCP偵測(sn(x)ping)的方式來學(xué)習(xí)正確的IP-MAC的對應(yīng)

關(guān)系，EXTREME稱之為DHCP綁定數(shù)據(jù)庫(DHCPbindingsdatabase)。這個DHCP綁定數(shù)據(jù)庫

是判斷ARP請求包和ARP響應(yīng)包是否正確的標(biāo)準(zhǔn)。

主機在從DHCP服務(wù)器之中獲取IP地址的過程之中，里面的數(shù)據(jù)包包含有源主機的IP和

MAC地址的信息、。在交換機開啟DHCP偵測功能就能從主機獲取IP地址的環(huán)節(jié)中學(xué)習(xí)到正

確的IP-MAC的對應(yīng)關(guān)系，填入到DHCP綁定數(shù)據(jù)庫中。同時DHCP偵測還可以防止未授權(quán)的

DHCP服務(wù)器連接到網(wǎng)絡(luò)。

在交換機之中開啟DHCP偵測功能：

enableip-securitydhep-snooping{vlan}<vlan_namc>ports[all|<ports>]violation-action[drop-packet{[block-

mac|block-portj[duration<duration_in_scconds>|pennanenzly]|none]}]{snmp-trap}

同時必須正確地配置DHCP服務(wù)器IP或者端口：

configuretrusted-servers{vlan}<vlan_name>addserver<ip_address>trustfordhep-server

或者

configuretrusted-ports|<ports>|all|trust-fordhep-server

在3層的交換機之中，extreme的交換機可以關(guān)閉傳統(tǒng)的ARP地址學(xué)習(xí)，該為通過DHCP

偵測的方式來學(xué)習(xí)IPARP表。

disableip-securityarplearninglearn-from-aq){vlan}<vlan_namc>ports

|all|<ports>]

Enableip-securityarplearninglearn-from-dhep(vlan)<vlan_name>ports

[all|<ports>]

(1)正常的情況下，通過DHCP自動獲取IP的計算機在extreme的2層或者3層的交換機中

的DHCP綁定數(shù)據(jù)庫會留下響應(yīng)的正確的紀(jì)錄。

計算機B

192.168.1.3

EnterpriseLA

計算機A

192.168.1.2

(2)當(dāng)網(wǎng)絡(luò)中有主機發(fā)送錯誤的ARP請求包和ARP響應(yīng)的欺騙包的時候，EXTREME的交

換機可以開啟ARP校驗(validatio)n功能。數(shù)據(jù)包到達交換機，交換機會對ARP請求包和ARP響應(yīng)

包里面的IP和MAC地址的和交換機本機的DHCP綁定數(shù)據(jù)庫紀(jì)錄核對，一旦發(fā)現(xiàn)有不合法

或者不匹配，就做拋棄處理。不合法的數(shù)據(jù)包也不會經(jīng)過交換機，也不會轉(zhuǎn)發(fā)到其他的網(wǎng)絡(luò)

設(shè)備或者主機中。這樣，網(wǎng)絡(luò)中的其他主機或者設(shè)備也只能收到正確的ARP請求包和ARP響應(yīng)

包，保證本網(wǎng)絡(luò)中的所有主機或者網(wǎng)絡(luò)設(shè)備的高速緩存的地址映射表準(zhǔn)確無誤。

d

訃算機A

192.168.1.2

開啟ARP校驗功能的命令為：

enableip-securilyarpvalidation{destination-mac){source-mac}{ip}{vlan)<vlan_name>[all|<ports>]violation-

action[drop-packet{[blockporl][duration<duration_in_seconds>|permanently]}]{snmp-lrap}

EXTREME中的ARP校驗功能可以檢測多種類型不合法的ARP數(shù)據(jù)包，根據(jù)當(dāng)前網(wǎng)絡(luò)的

實際情況靈便采用。

Arp的校驗參數(shù)有destinalion-mac,source-mac,ip,DHCP四個,其中DHCP參數(shù)是無法

調(diào)整，ARP校驗功能一旦開啟，這個參數(shù)就一定要啟用。符合下列條件的ARP數(shù)據(jù)包會被

EXTREME交換機丟棄：

ARP校驗參數(shù)檢查Arp請求包檢查Arp響應(yīng)包

DHCP發(fā)送方協(xié)議地址不在DHCP

綁

定數(shù)據(jù)庫中或者；

發(fā)送方硬件地址和發(fā)送方協(xié)議

地址對應(yīng)關(guān)系與DHCP綁定

數(shù)

據(jù)庫中的紀(jì)錄的不匹配。

Ip發(fā)送方協(xié)議地址是組播地址發(fā)送方協(xié)議地址是組播地址

或者;或者;

目標(biāo)協(xié)議地址是組播地址或者目標(biāo)協(xié)議地址是組播地址

?

發(fā)送方硬件地址和發(fā)送方協(xié)議

地址對應(yīng)￥系與nwrp綁定數(shù)

據(jù)庫中的紀(jì)錄的不匹配。

Source-mac包頭中的源MAC地址與發(fā)送

方硬件地址不匹配

Destinat