1. 網(wǎng)絡(luò)層

1.1. ARP協(xié)議

1.1.1. 前言

1.1.2. ARP的基本概念

Address Resolution Protocol，地址解析協(xié)議

通過對(duì)方的IP地址去解析對(duì)方的MAC地址

1.1.3. ARP的報(bào)文

ARP報(bào)文格式

硬件類型：標(biāo)識(shí)硬件地址的類型，值為1表示以太網(wǎng)地址

協(xié)議類型：表示要映射的協(xié)議地址類相關(guān)。0x0080表示IP地址類型

硬件地址長(zhǎng)度和協(xié)議地址長(zhǎng)度，對(duì)于以太網(wǎng)上的IP地址的ARP請(qǐng)求或應(yīng)答來說，他們的值分別為6和4

操作類型（op）：1表示ARP請(qǐng)求，2表示ARP應(yīng)答，3表示RARP請(qǐng)求，4表示進(jìn)行RARP應(yīng)答

發(fā)送方的硬件地址：發(fā)送方設(shè)備的硬件地址

發(fā)送方的協(xié)議地址：發(fā)送方設(shè)備IP地址

目標(biāo)硬件地址：接收方設(shè)備硬件地址

目標(biāo)協(xié)議地址：接收方設(shè)備IP地址

ARP請(qǐng)求報(bào)文

ARP應(yīng)答報(bào)文

1.1.4. ARP的工作過程

假設(shè)主機(jī)A和C在同一個(gè)網(wǎng)段，主機(jī)A要向主機(jī)C發(fā)送信息，具體的地址解析過程如下：

主機(jī)A首先查看自己的ARP表，確定其中是否包含有主機(jī)C對(duì)應(yīng)的ARP表項(xiàng)。如果找到了對(duì)應(yīng)的MAC地址，則主機(jī)A直接利用ARP表中的MAC地址，對(duì)IP數(shù)據(jù)包進(jìn)行幀封裝，并將數(shù)據(jù)包發(fā)送給主機(jī)C

如果主機(jī)A在ARP表中找不到對(duì)應(yīng)的MAC地址，則將緩存該數(shù)據(jù)報(bào)文，然后以廣播方式發(fā)送一個(gè)ARP請(qǐng)求報(bào)文。ARP請(qǐng)求報(bào)文中的發(fā)送端IP地址和發(fā)送端MAC地址為主機(jī)A的IP地址和MAC地址，目標(biāo)IP地址和目標(biāo)MAC地址為主機(jī)C的IP地址和全0的MAC地址。由于ARP請(qǐng)求報(bào)文以廣播方式發(fā)送，該網(wǎng)段上的所有主機(jī)都可以接收到該請(qǐng)求，但只有被請(qǐng)求的主機(jī)（即主機(jī)C）會(huì)對(duì)該請(qǐng)求進(jìn)行處理

主機(jī)C比較自己的IP地址和ARP請(qǐng)求報(bào)文中的目標(biāo)IP地址，當(dāng)兩者相同時(shí)進(jìn)行如下處理：將ARP請(qǐng)求報(bào)文中的發(fā)送端（即主機(jī)A）的IP地址和MAC地址存入自己的ARP表中。之后以單播方式發(fā)送ARP響應(yīng)報(bào)文給主機(jī)A，其中包含了自己的MAC地址

主機(jī)A收到ARP響應(yīng)報(bào)文后，將主機(jī)B的MAC地址加入到自己的ARP表中以用于后續(xù)報(bào)文的轉(zhuǎn)發(fā)，同時(shí)將IP數(shù)據(jù)包進(jìn)行封裝后發(fā)送出去

當(dāng)然更多的資料文檔和往期視頻文件，都可以【】 ，主要也是想給新手小白少走點(diǎn)彎路。

1.1.5. ARP表

設(shè)備通過ARP解析到目的MAC地址后，將會(huì)在自己的ARP表中增加IP地址到MAC地址的映射表項(xiàng)，以用戶后續(xù)到同一目的地報(bào)文的轉(zhuǎn)發(fā)

動(dòng)態(tài)ARP表

動(dòng)態(tài)ARP表項(xiàng)由ARP協(xié)議通過ARP報(bào)文自動(dòng)生成和維護(hù)，可以被老化，可以被新的報(bào)文更新，可以被靜態(tài)ARP表項(xiàng)覆蓋。

當(dāng)?shù)竭_(dá)老化時(shí)間、接口down時(shí)會(huì)刪除相應(yīng)的動(dòng)態(tài)ARP表項(xiàng)

靜態(tài)ARP表

靜態(tài)ARP表項(xiàng)通過手工配置和維護(hù)，不會(huì)被老化，不會(huì)被動(dòng)態(tài)ARP表覆蓋

配置靜態(tài)ARP表項(xiàng)可以增加通信的安全性。靜態(tài)ARP表項(xiàng)可以限制和指定IP地址的設(shè)備通信時(shí)只使用指定的MAC地址，此時(shí)攻擊報(bào)文無法修改此表項(xiàng)的IP地址和MAC地址的映射關(guān)系，從而保護(hù)了本設(shè)備和指定設(shè)備之間的正常通信

ARP表的更新和老化

ARP表的更新條件

在實(shí)際環(huán)境中，只有同時(shí)滿足兩個(gè)條件時(shí)，設(shè)備的ARP表項(xiàng)才會(huì)更新

1. 設(shè)備收到來自某IP的ARP請(qǐng)求包或免費(fèi)ARP包

2. 設(shè)備的現(xiàn)有ARP表項(xiàng)中已經(jīng)存在該IP對(duì)應(yīng)的ARP表項(xiàng)

ARP表的老化時(shí)間

不同的系統(tǒng)對(duì)ARP表項(xiàng)的老化時(shí)間設(shè)定不太一樣，在Windows2000/xp環(huán)境中，ARP表項(xiàng)的老化時(shí)間是2分鐘；大部分Cisco交換機(jī)中，該值為5分鐘，華為的設(shè)備一般是20分鐘。

ARP表老化時(shí)間定時(shí)器

滿足以下任一條件時(shí)，設(shè)備的ARP表項(xiàng)的老化時(shí)間定時(shí)器會(huì)充值

1. 設(shè)備響應(yīng)的ARP表項(xiàng)更新時(shí)

2. 設(shè)備調(diào)用ARP表項(xiàng)轉(zhuǎn)發(fā)數(shù)據(jù)后

1.1.6. 免費(fèi)ARP

免費(fèi)ARP的概念

免費(fèi)ARP指主機(jī)發(fā)送ARP查找自己的IP地址，通常發(fā)生在系統(tǒng)引導(dǎo)期間進(jìn)行接口配置時(shí)，與標(biāo)準(zhǔn)ARP的區(qū)別就是免費(fèi)ARP將目的IP地址封裝為自己的IP地址，即向網(wǎng)絡(luò)中請(qǐng)求自己的MAC地址

免費(fèi)ARP的作用

檢測(cè)地址沖突

? 正常情況下發(fā)送免費(fèi)ARP請(qǐng)求不會(huì)收到ARP應(yīng)答，如果收到一個(gè)ARP應(yīng)答，則說明網(wǎng)絡(luò)中存在與本機(jī)相同的IP地址的主機(jī)，發(fā)生了地址沖突

更新其他主機(jī)高速緩存中舊的硬件地址

? 如果發(fā)送免費(fèi)ARP的主機(jī)正好改變了硬件地址，如更換了接口卡

? 其他主機(jī)接收到這個(gè)ARP請(qǐng)求的時(shí)候，發(fā)現(xiàn)自己的ARP高速緩存表中存在對(duì)應(yīng)的IP地址，但是MAC地址不匹配，那么就需要利用接收到的ARP請(qǐng)求來更新本地的ARP高速緩存表項(xiàng)

網(wǎng)關(guān)利用免費(fèi)ARP防止ARP攻擊

? 有些網(wǎng)關(guān)設(shè)備在一定的時(shí)間間隔內(nèi)向網(wǎng)絡(luò)主動(dòng)發(fā)送免費(fèi)的ARP報(bào)文，讓網(wǎng)絡(luò)內(nèi)的其他主機(jī)更新ARP表項(xiàng)中的網(wǎng)關(guān)MAC地址信息，以達(dá)到防止或緩解ARP攻擊的效果

利用免費(fèi)ARP進(jìn)行ARP攻擊

ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答，計(jì)算機(jī)只要收到ARP應(yīng)答數(shù)據(jù)包，就會(huì)使用應(yīng)答包中的IP和MAC地址對(duì)本地的ARP緩存進(jìn)行更新

主機(jī)可以虛構(gòu)免費(fèi)ARP應(yīng)答，將ARP的源MAC設(shè)置為錯(cuò)誤的MAC地址，并把這個(gè)虛假的免費(fèi)ARP應(yīng)答發(fā)送到網(wǎng)絡(luò)中，那么所有接收到這個(gè)免費(fèi)ARP應(yīng)答的主機(jī)都會(huì)更新本地ARP表項(xiàng)中相應(yīng)IP地址對(duì)應(yīng)的MAC地址

更新成功后，這些主機(jī)的數(shù)據(jù)報(bào)文就會(huì)被轉(zhuǎn)發(fā)到錯(cuò)誤的MAC地址，從而實(shí)現(xiàn)了ARP欺騙

1.1.7. 代理ARP

代理ARP的概念

代理ARP（Proxy）就是通過使用一個(gè)主機(jī)（通常為Router），來作為指定的設(shè)備使用自己的MAC地址來對(duì)另一臺(tái)設(shè)備的ARP請(qǐng)求作出應(yīng)答

通俗來說就是由中間設(shè)備來代替其他主機(jī)響應(yīng)arp請(qǐng)求

為什么需要代理ARP

先要了解，路由器的重要功能之一就是把局域網(wǎng)的廣播報(bào)限制在該網(wǎng)段內(nèi)，阻止其擴(kuò)散，否則會(huì)造成廣播風(fēng)暴

ARP請(qǐng)求是廣播報(bào)，他詢問的對(duì)象如果在同一個(gè)局域網(wǎng)內(nèi)，就會(huì)收到ARP應(yīng)答。如果詢問對(duì)象不在一個(gè)局域網(wǎng)內(nèi)如何處理？路由器就提供了代理ARP為這個(gè)問題提供了解決方案

代理ARP的工作機(jī)制

兩臺(tái)主機(jī)A和B處于同一網(wǎng)段但不同的廣播段（不在同一物理網(wǎng)絡(luò)）時(shí)，主機(jī)A發(fā)送ARP請(qǐng)求主機(jī)B的MAC地址時(shí)，因?yàn)槁酚善鞑晦D(zhuǎn)發(fā)廣播報(bào)的原因，ARP請(qǐng)求只能達(dá)到路由器。

如果路由器使用了ARP代理功能，并知道主機(jī)B屬于它連接的網(wǎng)絡(luò)，那么路由器就用自己接口MAC地址代替主機(jī)B的MAC地址來對(duì)主機(jī)A進(jìn)行ARP應(yīng)答。主機(jī)A接收ARP應(yīng)答，但并不知道代理ARP的存在

代理ARP的優(yōu)缺點(diǎn)

優(yōu)點(diǎn)

代理ARP能在不影響路由表的情況下添加一個(gè)新的Router，使主網(wǎng)對(duì)該主機(jī)變得透明化。

一般代理ARP應(yīng)該使用在主機(jī)沒有配置默認(rèn)網(wǎng)關(guān)或沒有任何路由策略的網(wǎng)絡(luò)上

缺點(diǎn)

從工作過程可以看到，這其實(shí)是一種ARP欺騙

通過兩個(gè)物理網(wǎng)絡(luò)之間的路由器的代理ARP功能其實(shí)互相隱藏了物理網(wǎng)絡(luò)，這導(dǎo)致無法對(duì)網(wǎng)絡(luò)拓?fù)溥M(jìn)行網(wǎng)絡(luò)概括

代理ARP增加了使用它的那段網(wǎng)段的ARP流量，主機(jī)需要更大的ARP緩存空間，也不會(huì)為不使用ARP進(jìn)行地址解析的網(wǎng)絡(luò)工作

1.1.8. ARP攻擊

ARP攻擊的原理

ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的進(jìn)行。基于ARP協(xié)議的這一工作特性，黑客向?qū)Ψ接?jì)算機(jī)不斷發(fā)送有欺詐性質(zhì)的ARP數(shù)據(jù)包，數(shù)據(jù)包內(nèi)包含有與當(dāng)前設(shè)備重復(fù)的Mac地址，使對(duì)方在回應(yīng)報(bào)文時(shí)，由于簡(jiǎn)單的地址重復(fù)錯(cuò)誤而導(dǎo)致不能進(jìn)行正常的網(wǎng)絡(luò)通信

受到ARP攻擊產(chǎn)生的現(xiàn)象

不斷彈出“本機(jī)的XXX段硬件地址與網(wǎng)絡(luò)中的XXX段地址沖突”的對(duì)話框。

計(jì)算機(jī)不能正常上網(wǎng)，出現(xiàn)網(wǎng)絡(luò)中斷的癥狀

注：因?yàn)檫@種攻擊是利用ARP請(qǐng)求報(bào)文進(jìn)行“欺騙”的，所以防火墻會(huì)誤以為是正常的請(qǐng)求數(shù)據(jù)包，不予攔截。因此普通的防火墻很難抵擋這種攻擊