ARP协议概述－－入门很好的文章

ARP协议

1 ARP协议概述

IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。

ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信。

如果有一个不被信任的节点对本地网络具有写访问许可权，那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些机器，或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上， ARP映射可以用固件，并且具有自动抑制协议达到防止干扰的目的。

图1 以太网上的ARP报文格式

图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位，也就是4个八位组表示，在以后的图中，我们也将遵循这一方式。

 

 

 

 

ARP报格式说明：

1．硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1。

2．协议类型字段指明了发送方提供的高层协议类型，IP为0806（16进制）。可以看到ARP位于IP层和链路层之间，提供IP报向MAC帧的转换。

3．硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用。以太网硬件地址长度为48bit，IP地址长度为32bit。

4．操作字段用来表示这个报文的目的，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4。

5．发送方首部是48bit的MAC地址。发送方IP地址就是发送发32bit的IP地址。

6．目的首部是48bit的MAC地址,为NULL。目的IP地址就是目的端32bit的IP地址。

当发出【ARP请求报文】时，发送方填好发送方首部（MAC）和发送方IP地址，还要填写目标IP地址。当目标机器收到这个ARP广播包时，就会在【ARP响应报文】中填上自己的48位主机地址（MAC）。

可以看到，请求报和应答报发生改变的就是首部和IP地址变化，其他均不变。封装成MAC帧的时候，目的MAC为广播MAC地址,FF:FF:FF:FF:FF:FF。

一个ARP报的数据结构实例（一共9项）：

typedef struct arphdr
{
 unsigned short arp_hrd;   /* 硬件类型 */
 unsigned short arp_pro;   /* 协议类型 */
 unsigned char arp_hln;   /* 硬件地址长度 */ ―――MAC地址
 unsigned char arp_pln;  /* 协议地址长度 */  ―――IP地址
 unsigned short arp_op;   /* ARP操作类型 */

 unsigned char arp_sha[6];  /* 发送者的硬件地址 */
 unsigned long arp_spa;  /* 发送者的协议地址 */
 unsigned char arp_tha[6];  /* 目标的硬件地址 */
 unsigned long arp_tpa;  /* 目标的协议地址 */
}ARPHDR, *PARPHDR;

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

2 ARP使用举例

我们先看一下linux下的arp命令(如果开始arp表中的内容为空的话,需要先对某台主机进行一个连接,例如ping一下目标主机来产生一个arp项)：

d2server:/home/kerberos# arp

Address          HWtype  HWaddress         Flags Mask            Iface

211.161.17.254   ether   00:04: 9A:AD: 1C: 0A      C                 eth0

Address：主机的IP地址

Hwtype：主机的硬件类型

Hwaddress：主机的硬件地址

Flags Mask：记录标志，"C"表示arp高速缓存中的条目，"M"表示静态的arp条目。

用"arp --a"命令可以显示主机地址与IP地址的对应表，也就是机器中所保存的arp缓存信息。这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为20分钟，起始时间从被创建时开始算起。

d2server:/home/kerberos# arp -a

(211.161.17.254) at 00:04: 9A:AD: 1C: 0A [ether] on eth0

可以看到在缓存中有一条211.161.17.254相对应的arp缓存条目。

d2server:/home/kerberos# telnet 211.161.17.21

Trying 211.161.17.21...

Connected to 211.161.17.21.

Escape character is '^]'.

^].

telnet>quit

connetion closed.

在执行上面一条telnet命令的同时，用tcpdump进行监听：

d2server:/home/kerberos# tcpdump -e dst host 211.161.17.21

tcpdump: listening on eth0

我们将会听到很多包，我们取与我们arp协议相关的2个包：

1  0.0         00:D0:F8: 0A:FB:83      FF:FF:FF:FF:FF:FF  arp  60

                       who has 211.161.17.21 tell d2server

2  0.002344(0.0021)    00:E0: 3C:43:0D:24      00:D0:F8: 0A:FB:83  arp  60

                       arp reply 211.161.17.21 is at 00:E0: 3C:43:0D:24

                      

在第1行中，源端主机（d2server）的硬件地址是00:D0:F8: 0A:FB:83。目的端主机的硬件地址是FF:FF:FF:FF:FF:FF，这是一个以太网广播地址。电缆上的每个以太网接口都要接收这个数据帧并对它进行处理。

第1行中紧接着的一个输出字段是arp，表明帧类型字段的值是0x0806，说明此数据帧是一个ARP请求或回答。

在每行中，单词后面的值60指的是以太网数据帧的长度。由于ARP请求或回答的数据帧长都是42字节（28字节的ARP数据，14字节的以太网帧头），因此，每一帧都必须加入填充字符以达到以太网的最小长度要求：60字节。

第1行中的下一个输出字段arp who-has表示作为ARP请求的这个数据帧中，目的I P地址是211.161.17.21的地址，发送端的I P地址是d2server的地址。tcpdump打印出主机名对应的默认I P地址。

从第2行中可以看到，尽管ARP请求是广播的，但是ARP应答的目的地址却是211.161.17.21(00:E0: 3C:43:0D:24)。ARP应答是直接送到请求端主机的，而是广播的。tcpdump打印出arp reply的字样，同时打印出响应者的主机ip和硬件地址。

在每一行中，行号后面的数字表示tcpdump收到分组的时间（以秒为单位）。除第1行外，每行在括号中还包含了与上一行的时间差异（以秒为单位）。

这个时候我们再看看机器中的arp缓存：

d2server:/home/kerberos# arp -a (211.161.17.254) at 00:04: 9A:AD: 1C: 0A [ether] on eth0 (211.161.17.21) at 00:E0: 3C:43:0D:24 [ether] on eth0

arp高速缓存中已经增加了一条有关211.161.17.21的映射。

再看看其他的arp相关的命令：

d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00

d2server:/home/kerberos# arp

Address          HWtype  HWaddress        Flags Mask       Iface

211.161.17.254     ether   00:04: 9A:AD: 1C: 0A     C            eth0

211.161.17.21      ether   00:00:00:00:00: 00      CM           eth0

d2server:/home/kerberos# arp -a

(211.161.17.254) at 00:04: 9A:AD: 1C: 0A [ether] on eth0

(211.161.17.21) at 00:00:00:00:00:00 [ether] PERM on eth0

可以看到我们用arp -s选项设置了211.161.17.21对应的硬件地址为00:00:00:00:00:00，而且这条映射的标志字段为CM,也就是说我们手工设置的arp选项为静态arp选项，它保持不变没有超时，不像高速缓存中的条目要在一定的时间间隔后更新。

如果想让手工设置的arp选项有超时时间的话，可以加上temp选项

d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 temp

d2server:/home/kerberos# arp -a

(211.161.17.254) at 00:04: 9A:AD: 1C: 0A [ether] on eth0

(211.161.17.21) at 00:00:00:00:00:00 [ether] on eth0

d2server:/home/kerberos# arp

Address        HWtype  HWaddress         Flags Mask      Iface

211.161.17.254   ether   00:04: 9A:AD: 1C: 0A     C            eth0

211.161.17.21    ether   00:00:00:00:00: 00       C            eth0

可以看到标志字段的静态arp标志"M"已经去掉了，我们手工加上的是一条动态条目。

请大家注意arp静态条目与动态条目的区别。

在不同的系统中，手工设置的arp静态条目是有区别的。在linux和win2000中，静态条目不会因为伪造的arp响应包而改变，而动态条目会改变。而在win98中，手工设置的静态条目会因为收到伪造的arp响应包而改变。

如果您想删除某个arp条目（包括静态条目），可以用下面的命令：

d2server:/home/kerberos# arp -d 211.161.17.21 

d2server:/home/kerberos# arp -a

(211.161.17.254) at 00:04: 9A:AD: 1C: 0A [ether] on eth0

(211.161.17.21) at  on eth0

可以看到211.161.17.21的arp条目已经是不完整的了。

还有一些其他的命令，可以参考linux下的man文档：

d2server:/home/kerberos# man arp

 

 

后面关于ARP地址欺骗参考

http://www.net130.com/2004/5-30/20201.html