【网络基础】剖析ARP协议：概念、工作原理、安全风险、相关指令 ...

---

1. 引入

我们知道，在局域网通信中，一台主机想向另一台主机发送数据，自然需要得到目的网络 以及 目的主机，但发送方只知道目的IP，而不知道对方的MAC地址，自然就无法封装MAC帧；
此时就有一个概念：在同一个网段，通过目的IP获取目的MAC地址 —— ARP协议（地址剖析协议）
3解释ARP的工作过程前，我们先看ARP数据报的格式

---

以太网和ARP报文结构的分析：

• 源 MAC 地址 和 目的 MAC 地址 在以太网首部和 ARP 哀求中各出现一次。在链路层为以太网的情况下，这些字段在 ARP 哀求中大概显得多余，但对于其他范例的链路层网络，它们大概是须要的。
  
• 硬件范例：指示链路层网络范例。比方，1 体现以太网。
  
• 协议范例：指示要转换的地址范例。比方，0x0800 体现 IP 地址。
  
• 硬件地址长度：对于以太网地址，长度为 6 字节。
  
• 协议地址长度：对于 IP 地址，长度为 4 字节。
  

---

以上是固定的字段界说。接下来是 ARP 报文中的详细信息：

• 发送端以太网地址：即发送方的 MAC 地址。
  
• 发送端 IP 地址：即发送方的 IP 地址。
  
• 目的以太网地址：目的的 MAC 地址，通常未知时设为全 1，即 ff:ff:ff:ff:ff:ff。
  
• 目的 IP 地址：即目的的 IP 地址。
  

---

关于 op 字段（操作码）的分析：

• op 字段 指示 ARP 报文的范例：
  
  
  
  • op = 1：ARP 哀求。
    
  • op = 2：ARP 应答。
    
  
  
• 任何主机在网络中大概会向目的主机发起 ARP 哀求，并在之后收到对应的 ARP 应答。
  
• 同样，任何主机也大概会汲取到来自其他主机的 ARP 哀求。
  

---

2. 概念

有了上面的ARP协议的引入，简单介绍其概念：
ARP（Address Resolution Protocol，地址剖析协议）是一种用于在局域网内通过IP地址来寻找对应的MAC地址的协议。

• 其主要作用是在网络中将IP地址转换为物理地址（即MAC地址），从而使得数据包可以在以太网或其他局域网介质中正确传输。
  

---

3. ARP协议工作过程

• 起首是发送方HA向目的HD发送数据：
  
  
  
  • 所有主机都会收到并处理（目的MAC地址为FF…FF，未知）：
    
    
    
    
  
  
• 随后HD会进行应答（一对一传输应答）：
  
  
  
  • 只有HA（汲取方）会收到并处理该应答（目的MAC地址已知）：
    
  
  

• 从上面arp的工作流程来看，arp会进行一次哀求和应答，是不是每次发送数据都得进行哀求和应答？
  
  
  
  • 不是，arp哀求成功后，哀求方会将 [IP:MAC地址] 的映射关系暂时生存
    
  
  
• 是否只在目的端的子网中才进行arp，从发送端到目的端的路径中会不会进行？
  
  
  
  • 会进行，如上面的两图，arp的过程在整个局域网中随时大概发生。
    
  
  

---

4. 通过指令 获取当前主机所处局域网的所有IP和MAC地址？

在Windows/linux上，可以直接使用arp -a下令来查看本地ARP缓存中的IP和MAC地址。这会体现与当前主机通信过的其他设备的IP和MAC地址。

1. arp -a
2. Interface: 192.168.1.2 --- 0x3
3.   Internet Address      Physical Address      Type
4.   192.168.1.1           00-14-22-01-23-45     dynamic
5.   192.168.1.3           00-14-22-67-89-ab     dynamic
6.   192.168.1.4           00-14-22-cd-ef-12     dynamic

复制代码

---

5. arp欺骗

ARP 欺骗（ARP Spoofing）是一种网络攻击方法，此中攻击者向局域网中的设备发送伪造的 ARP 消息，从而使目的设备将攻击者的 MAC 地址与目的 IP 地址进行关联。这会导致以下问题：

• 流量挟制：攻击者可以拦截和查看原本发送给目的设备的数据包。
  
• 中心人攻击：攻击者可以修改或伪造数据包，从而干扰通信。
  
• 网络瘫痪：通过发送大量伪造的 ARP 哀求，可以使网络中的设备无法正常通信。
  

---

5.1 防护步伐

• 启用静态 ARP 表：在网络设备上设置静态 ARP 表项，防止 ARP 表被窜改。
  
• 使用 ARP 监控工具：使用工具检测和警报 ARP 欺骗运动。
  
• 网络分段和 VLAN：通过网络分段和 VLAN 限定 ARP 欺骗的影响范围。
  
• 启用动态 ARP 检测：在支持的交换机上启用动态 ARP 检测功能。
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。