ARP协议概述--入门很好的文章

最新推荐文章于 2023-08-30 14:48:01 发布
最新推荐文章于 2023-08-30 14:48:01 发布
阅读量1.9k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux内核-网络技术实现与分析 网络技术 文章标签: server character linux c 数据结构 internet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ryman/article/details/354453
本文详细介绍了ARP协议,它用于将IP地址转换为以太网地址。阐述了ARP工作原理、报文格式及数据结构,还给出Linux下arp命令的使用示例,如显示缓存信息、设置静态或动态条目、删除条目等,同时提及不同系统中ARP静态与动态条目的区别。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ARP协议

1 ARP协议概述

IP数据包常通过以太网发送。以太网设备并不识别32IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution ProtocolARP)就是用来确定这些映象的协议。

ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来,以节约不必要的ARP通信。

如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上, ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。


1 以太网上的ARP报文格式

1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位,也就是4个八位组表示,在以后的图中,我们也将遵循这一方式。

 

 

 

 

ARP报格式说明:

1.硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1

2.协议类型字段指明了发送方提供的高层协议类型,IP080616进制)。可以看到ARP位于IP层和链路层之间,提供IP报向MAC帧的转换。

3.硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。以太网硬件地址长度为48bitIP地址长度为32bit

4.操作字段用来表示这个报文的目的,ARP请求为1ARP响应为2RARP请求为3RARP响应为4

5.发送方首部是48bitMAC地址。发送方IP地址就是发送发32bitIP地址。

6.目的首部是48bitMAC地址,为NULL。目的IP地址就是目的端32bitIP地址。

当发出【ARP请求报文】时,发送方填好发送方首部(MAC)和发送方IP地址,还要填写目标IP地址。当目标机器收到这个ARP广播包时,就会在【ARP响应报文】中填上自己的48位主机地址(MAC)。

可以看到,请求报和应答报发生改变的就是首部和IP地址变化,其他均不变。封装成MAC帧的时候,目的MAC为广播MAC地址,FF:FF:FF:FF:FF:FF。

一个ARP报的数据结构实例(一共9项):

typedef struct arphdr
{
 unsigned short arp_hrd;   /* 硬件类型 */
 unsigned short arp_pro;   /* 协议类型 */
 unsigned char arp_hln;   /* 硬件地址长度 */ ―――MAC地址
 unsigned char arp_pln;  /* 协议地址长度 */  ―――IP地址
 unsigned short arp_op;   /* ARP操作类型 */

 unsigned char arp_sha[6];  /* 发送者的硬件地址 */
 unsigned long arp_spa;  /* 发送者的协议地址 */
 unsigned char arp_tha[6];  /* 目标的硬件地址 */
 unsigned long arp_tpa;  /* 目标的协议地址 */
}ARPHDR, *PARPHDR;

==============================

2 ARP使用举例

我们先看一下linux下的arp命令(如果开始arp表中的内容为空的话,需要先对某台主机进行一个连接,例如ping一下目标主机来产生一个arp)

d2server:/home/kerberos# arp

Address          HWtype  HWaddress         Flags Mask            Iface

211.161.17.254   ether   00:04: 9A:AD: 1C: 0A      C                 eth0

Address:主机的IP地址

Hwtype:主机的硬件类型

Hwaddress:主机的硬件地址

Flags Mask:记录标志,"C"表示arp高速缓存中的条目,"M"表示静态的arp条目。

"arp --a"命令可以显示主机地址与IP地址的对应表,也就是机器中所保存的arp缓存信息。这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为20分钟,起始时间从被创建时开始算起。

d2server:/home/kerberos# arp -a

(211.161.17.254) at 00:04: 9A:AD: 1C: 0A [ether] on eth0

可以看到在缓存中有一条211.161.17.254相对应的arp缓存条目。

d2server:/home/kerberos# telnet 211.161.17.21

Trying 211.161.17.21...

Connected to 211.161.17.21.

Escape character is '^]'.

^].

telnet>quit

connetion closed.

在执行上面一条telnet命令的同时,用tcpdump进行监听:

d2server:/home/kerberos# tcpdump -e dst host 211.161.17.21

tcpdump: listening on eth0

我们将会听到很多包,我们取与我们arp协议相关的2个包:

1  0.0         00:D0:F8: 0A:FB:83      FF:FF:FF:FF:FF:FF  arp  60

                       who has 211.161.17.21 tell d2server

2  0.002344(0.0021)    00:E0: 3C:43:0D:24      00:D0:F8: 0A:FB:83  arp  60

                       arp reply 211.161.17.21 is at 00:E0: 3C:43:0D:24

                      

在第1行中,源端主机(d2server)的硬件地址是00:D0:F8: 0A:FB:83。目的端主机的硬件地址是FF:FF:FF:FF:FF:FF,这是一个以太网广播地址。电缆上的每个以太网接口都要接收这个数据帧并对它进行处理。

1行中紧接着的一个输出字段是arp,表明帧类型字段的值是0x0806,说明此数据帧是一个ARP请求或回答。

在每行中,单词后面的值60指的是以太网数据帧的长度。由于ARP请求或回答的数据帧长都是42字节(28字节的ARP数据,14字节的以太网帧头),因此,每一帧都必须加入填充字符以达到以太网的最小长度要求:60字节。

1行中的下一个输出字段arp who-has表示作为ARP请求的这个数据帧中,目的I P地址是211.161.17.21的地址,发送端的I P地址是d2server的地址。tcpdump打印出主机名对应的默认I P地址。

从第2行中可以看到,尽管ARP请求是广播的,但是ARP应答的目的地址却是211.161.17.21(00:E0: 3C:43:0D:24)ARP应答是直接送到请求端主机的,而是广播的。tcpdump打印出arp reply的字样,同时打印出响应者的主机ip和硬件地址。

在每一行中,行号后面的数字表示tcpdump收到分组的时间(以秒为单位)。除第1行外,每行在括号中还包含了与上一行的时间差异(以秒为单位)。

这个时候我们再看看机器中的arp缓存:

d2server:/home/kerberos# arp -a (211.161.17.254) at 00:04: 9A:AD: 1C: 0A [ether] on eth0 (211.161.17.21) at 00:E0: 3C:43:0D:24 [ether] on eth0

arp高速缓存中已经增加了一条有关211.161.17.21的映射。

再看看其他的arp相关的命令:

d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00

d2server:/home/kerberos# arp

Address          HWtype  HWaddress        Flags Mask       Iface

211.161.17.254     ether   00:04: 9A:AD: 1C: 0A     C            eth0

211.161.17.21      ether   00:00:00:00:00: 00      CM           eth0

d2server:/home/kerberos# arp -a

(211.161.17.254) at 00:04: 9A:AD: 1C: 0A [ether] on eth0

(211.161.17.21) at 00:00:00:00:00:00 [ether] PERM on eth0

可以看到我们用arp -s选项设置了211.161.17.21对应的硬件地址为00:00:00:00:00:00,而且这条映射的标志字段为CM,也就是说我们手工设置的arp选项为静态arp选项,它保持不变没有超时,不像高速缓存中的条目要在一定的时间间隔后更新。

如果想让手工设置的arp选项有超时时间的话,可以加上temp选项

d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 temp

d2server:/home/kerberos# arp -a

(211.161.17.254) at 00:04: 9A:AD: 1C: 0A [ether] on eth0

(211.161.17.21) at 00:00:00:00:00:00 [ether] on eth0

d2server:/home/kerberos# arp

Address        HWtype  HWaddress         Flags Mask      Iface

211.161.17.254   ether   00:04: 9A:AD: 1C: 0A     C            eth0

211.161.17.21    ether   00:00:00:00:00: 00       C            eth0

可以看到标志字段的静态arp标志"M"已经去掉了,我们手工加上的是一条动态条目。

请大家注意arp静态条目与动态条目的区别。

在不同的系统中,手工设置的arp静态条目是有区别的。在linuxwin2000中,静态条目不会因为伪造的arp响应包而改变,而动态条目会改变。而在win98中,手工设置的静态条目会因为收到伪造的arp响应包而改变。

如果您想删除某个arp条目(包括静态条目),可以用下面的命令:

d2server:/home/kerberos# arp -d 211.161.17.21 

d2server:/home/kerberos# arp -a

(211.161.17.254) at 00:04: 9A:AD: 1C: 0A [ether] on eth0

(211.161.17.21) at  on eth0

可以看到211.161.17.21arp条目已经是不完整的了。

还有一些其他的命令,可以参考linux下的man文档:

d2server:/home/kerberos# man arp

 

 

后面关于ARP地址欺骗参考

http://www.net130.com/2004/5-30/20201.html

 

 

【网络入门】详解常用的基础网络知识(笔试面试常考内容)
dvlinker的技术专栏
04-26 7万+
本文结合多年来的工作实践,来详细讲述一下作为IT从业人员要掌握的一些基础网络知识。
Linux网络编程——网络协议入门
qq_74811378的博客
11-10 1005
它们读取这个包的“标头”,找到接收方的 MAC 地址,然后与自身的 MAC 地址相比较,如果两者相同,就接受这个包,做进一步处理,否则就丢弃这个包。TCP 数据包没有长度限制,理论上可以无限长,但是为了保证网络的效率,通常 TCP 数据包的长度不会超过 IP 数据包的长度,以确保单个 TCP 数据包不必再分割。(“路由”就相当于现象生活中的路标,规定这些数据包的走向,就是指如何向不同的子网络分发数据包,这是一个很大的主题,本文不涉及。上面提到,以太网数据包的“标头”,包含了发送者和接受者的信息。
ARP协议分析论文3000字
07-01
不是毕业论文 是作业论文 实用 里面有图文介绍 有科来抓包图
使用ARP协议对主机的欺骗攻击的设计与实现毕业论文.docx
09-24
使用ARP协议对主机的欺骗攻击的设计与实现毕业论文.docx
ARP协议原理
热门推荐
杰杰的博客
03-12 4万+
引言 从前一篇文章中,我们知道计算机中会维护一个ARP缓存表,这个表记录着IP地址与MAC地址的映射关系,我们可以通过在电脑的控制台通过arp -a指令查看一下我们自己计算机的ARP缓存表: 那么什么是ARP协议呢? 初始ARP ARP协议是地址解析协议(Address Resolution Protocol)是通过解析IP地址得到MAC地址的,是一个在网络协议包中极其重要的网络传输协议,它与网...
linux arp的操作解释,永久生效的方法
杨仕虎的博客
01-07 4495
因为自己最近在写arp抓包,顺便写下linux下操作arp的方法 linux下命令还是arp (一切操作都是临时的,重启系统失效) 参数: 命令格式: arp查看: on 和 PERM,其实就是看类型动态还是静态 on:动态 PERMpermanent):静态 静态绑定: 多网卡情况下需要知道网卡设备 arp -i eth0 -s 192.168.1.6 00:00:00:ee:ee:e...
arp 静态绑定的问题
sjx1989的专栏
09-14 2365
arp -s 1.2.3.4 12:12:23:34:45:45 -i eth0 arp -a看 1.2.3.4后面应该有个PERM,表示是永久路由 在网关上面添加了这个绑定,填正确的ip,错误的mac,然后local 的pc应该就上不了网了 但实际的测试结果是,网关上面的绑定生效,但是本地还是可以上网。 最后发现,原来是pc上面安装了虚拟机软件(VMware/virtu
趣谈网络协议笔记 - 从二层到三层
镜花水月的博客
07-14 850
第五讲 从物理层到MAC层 第一层(物理层)   电脑连电脑,除了网线要交叉,还需要配置这两台电脑的 IP 地址、子网掩码和默认网关。这三个概念上一节详细描述过了。要想两台电脑能够通信,这三项必须配置成为一个网络,可以一个是 192.168.0.1/24,另一个是 192.168.0.2/24,否则是不通的。到此为止,两台电脑已经构成了一个最小的局域网,也即LAN。   先别说交换机,当时交换机也贵。有一个叫作Hub的东西,也就是集线器。这种设备有多个口,可以将宿舍里的多台电脑连接起来。但是,和交换机不同,
黑客攻防从入门到精通 1-6章
csdncsdnq的博客
10-18 3215
刚刚开始网络安全的时候特别迷茫,大一在老区,什么资源都莫得,开了一个百度网盘的VIP年费,在网上收集各种资源,但是,还是错过了好多,总是感觉大一白干了,浪费了一年的时间,无奈,因为莫得人指点,大学老师是挺厉害的,但是吧出于自己的害羞,没问…现在我正式开始我的网络安全之路。 先给介绍我的大一都干了什么:开了百度网盘vip年费,至今为这个做法点赞,里面有上千G的资源,都是关于网络安全,先给看一...
计算机网络概述-计算机网络知识汇总(一)|Zam9036博客
Zam9036博客
03-02 2547
文章目录计算机网络的概念与组成计算机网络的概念计算机网络的应用计算机网络的重要性计算机网络的组成网络硬件客户机(Client)数据传输介质网络接口单元(NIU) 、通信控制器、网卡交换机服务器网络互联设备网络软件网络系统软件网络环境软件网络应用软件网络协议/标准Internet组织机构Internet标准化过程计算机网络的逻辑组成计算机网络的类别按照网络的地理覆盖范围分广域网(WAN)城域网(M...
ARP协议详解之ARP动态与静态条目的生命周期
大学霸__IT达人
07-03 1万+
ARP协议详解之ARP动态与静态条目的生命周期
理解ARP及Proxy(代理)ARP
qq_63540264的博客
08-30 7226
ARP(address resolution protocol)是用来将IP地址解析为MAC地址的协议
Linux系统ARP攻击的实现与防范
yjh314的专栏
03-10 1262
相信很多处于局域网的朋友对ARP攻击并不陌生,在我们常用的Windows操作系统下拥有众多ARP防火墙,可以很好的阻断ARP攻击,但是如果使用的是Linux系统要怎么做才能防止ARP攻击呢?所谓知己知彼,想要防御就需要先了解攻击的原理。这篇文章使用Ubuntu这个Linux发行版,实例演示Linux系统如何实施ARP攻击以及如何防范。 文章目录 [1].ARP的工作原理 首先简答的介绍一下什
Linux清除所有动态ARP的脚本命令
munan0077的博客
04-08 1106
如下: arp |grep -v “PERM” |awk ‘{match($0,/([^()]*)/);print “arp -d”,substr($0,RSTART+1,RLENGTH-2)|“/bin/bash”}’
【计算机网络】(4)什么是路由+ARP协议
qq_51275515的博客
07-18 1972
路由(动词)跨越从源主机到目的主机的一个互联网络来转发数据包的过程路由器能够将数据包转发到正确的目的地,并在转化过程中选择最佳路径的设备。网关geteway网络的关卡(路由器的LAN口的接口)==》这个定义是对应PC机而言。......
arp 静态绑定Mac地址
qq_29663071的博客
12-07 1万+
| 首先,做两个对比试验:   root@firewall root]# arp -a ? (192.168.100.83) at 00:15:58:A2:13: D0 [ether] on eth0 ? (192.168.100.81) at 00:15:C5:E1:D1:58 [ether] on eth0 [root@firewall bin]# arp -s 1
arp命令详解
AK48的专栏
03-03 2万+
arp命令使用详解  显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表,它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用,则 arp 命令将显示帮助信息。  语法  arp[-a [InetAddr] [-N IfaceAddr]
Netsh解除arp永久绑定
在远行的路上
08-24 4812
netsh -c "i i" add neighbors 10 "192.168.1.1" "**-**-**-**-**-**"。 这个命令,在目前来说,对于大家不是很陌生了。网络上随便搜就能搜出一堆教程。 但是今天来说的一个问题,是绑定了之后,该怎么还原? 尝试了netsh i i delete neighbors。 但是用过的人都知道,这些都是表面功夫。重新启动后,绑定依然存在。 继续命令n
TCP/IP协议族——ARP、DNS工作原理及实例详解
walkerkalr的专栏
06-25 6667
 测试网络: 通过VMware创建了两个虚拟机,并利用桥接方式联网以此模拟两台主机连接一台路由器的情况。测试网络图如下: ARP协议工作原理 ARP协议能实现任意网络地址到任意物理地址的转换,这里仅讨论IP地址到以太网地址(MAC地址)的转换。其工作原理是:主机向自己所在网络广播一个ARP请求,该请求包含目标机器的网络地址。此网络上的其他机器都将接收到这个请求,但只有被请求的目标机...
计算机网路 网络层-ARP协议-v1.1
最新发布
04-01
<think>好的,我现在需要回答用户关于网络层中ARP协议v1.1的工作原理与实现细节的问题。用户提到可能是关于版本v1.1的详细信息或实现,所以我要先确认ARP协议是否有v1.1这个版本。通常,ARP协议在RFC 826中定义,可能没有明确的v1.1版本,但可能存在一些更新或扩展,比如RFC 5227中的ARP改进。不过用户可能误将某个教材或资料中的版本号作为v1.1,所以需要先说明标准ARP协议的工作原理,并提及可能的扩展或改进版本。 首先,我需要整理ARP协议的基本工作原理。ARP协议负责将IP地址解析为MAC地址,以便在局域网中传输数据帧。当主机A需要向主机B发送数据时,如果不知道B的MAC地址,会发送ARP请求广播,询问哪个设备的IP地址对应目标IP。目标主机B收到后,会单播回复ARP响应,包含自己的MAC地址。主机A将这一映射存入ARP缓存,后续通信使用。 接下来,实现细节方面,需要考虑ARP报文结构。标准的ARP报文包括硬件类型、协议类型、硬件地址长度、协议地址长度、操作类型(请求或响应)、发送方和目标的MAC及IP地址。报文长度为28字节。在实现中,操作系统的网络栈处理ARP请求和响应,维护ARP缓存表,并处理超时机制,例如缓存有效期默认120秒,如引用[4]所述。 关于v1.1的可能改进,需要查看是否有相关RFC或资料提到。比如,RFC 5227中提出了IPv4地址冲突检测(ACD),这可能被视为ARP协议的扩展,但并非正式版本v1.1。因此,在回答中应指出标准ARP版本,并解释可能的改进或扩展,同时澄清版本号可能来自特定资料。 另外,用户提供的引用中有关于ARP攻击和防护措施的内容,如引用[3]和[4],需要在相关部分提及安全机制,如动态ARP检测、静态ARP表等,作为实现中的防护措施。 最后,生成相关问题,需要围绕ARP协议的工作原理、报文结构、缓存机制、安全问题和防护措施等方面展开。 现在需要确保回答结构清晰,分点说明,使用正确的中文和LaTeX格式,如行内公式用$...$,独立公式用$$...$$,并正确引用提供的参考资料。注意用户提到的v1.1可能需要说明版本信息,避免误导。</think>### 计算机网络 网络层 ARP协议 v1.1 工作原理与实现细节 #### 一、ARP协议基础 地址解析协议ARP)用于将网络层(IP地址)映射到数据链路层(MAC地址)。当设备需要在局域网内通信时,必须通过目标设备的MAC地址完成数据帧传输。如果发送方不知道目标MAC地址,则触发ARP协议进行解析[^1]。 #### 二、ARP v1.1 工作原理 1. **ARP请求广播** - 当主机A(IP:$IP_A$,MAC:$MAC_A$)需向主机B(IP:$IP_B$)发送数据时,若缓存中无$IP_B$对应的MAC地址,则发送**ARP请求报文**。 - 报文内容: ```plaintext 发送方IP: IP_A 发送方MAC: MAC_A 目标IP: IP_B 目标MAC: 00:00:00:00:00:00(全0表示未知) ``` - 该报文通过广播(目标MAC为`FF:FF:FF:FF:FF:FF`)发送至局域网内所有设备[^4]。 2. **ARP响应单播** - 主机B收到ARP请求后,若自身IP与目标IP匹配,则生成**ARP响应报文**,包含自身MAC地址$MAC_B$,并通过单播返回给主机A。 - 响应报文内容: ```plaintext 发送方IP: IP_B 发送方MAC: MAC_B 目标IP: IP_A 目标MAC: MAC_A ``` 3. **ARP缓存机制** - 主机A收到响应后,将$IP_B \rightarrow MAC_B$的映射存入ARP缓存表,默认有效期**120秒**(超时后需重新请求)。 - 缓存表可通过`arp -a`命令查看(Windows/Linux)。 #### 三、实现细节与v1.1扩展 1. **报文格式** ARP报文长度固定为28字节,结构如下: $$ \begin{array}{|c|c|c|c|c|} \hline \text{硬件类型} & \text{协议类型} & \text{硬件地址长度} & \text{协议地址长度} & \text{操作类型} \\ \hline 2字节 & 2字节 & 1字节 & 1字节 & 2字节 \\ \hline \end{array} \quad + \quad \text{发送方MAC(6字节) + 发送方IP(4字节) + 目标MAC(6字节) + 目标IP(4字节)} $$ 2. **v1.1可能的改进** - **版本说明**:标准ARP协议在RFC 826中定义,未明确划分版本号。“v1.1”可能指特定实现中的优化,如: - **冲突检测**:通过RFC 5227引入的IPv4地址冲突检测(ACD),防止IP重复分配[^3]。 - **安全性增强**:支持动态ARP检测(DAI)或静态ARP绑定,抵御ARP欺骗攻击。 3. **操作系统实现** - **请求处理**:网络驱动监听ARP广播,匹配目标IP后触发响应。 - **缓存管理**:使用哈希表存储ARP条目,超时后自动清理或更新。 - **命令工具**:如`arp`命令用于手动操作缓存(与ARP协议本身区分,见引用[2])。 #### 四、安全与防护 1. **ARP欺骗攻击** - 攻击者伪造ARP响应,篡改IP-MAC映射,导致流量劫持或中间人攻击。 2. **防护措施** - **静态ARP表**:手动绑定关键设备的IP-MAC映射。 - **动态ARP检测(DAI)**:交换机验证ARP报文合法性,阻止非法映射。 - **网络分段**:通过VLAN限制广播域,减少攻击面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值