ARP协议解析

一、定义：

地址解析协议，是经过解析网络层地址（ipv4, ipv6）来寻找数据链路层地址的一个在网络协议包中很是重要的网络传输协议。ARP属于数据链路层协议。

二、基本功能

在以太网协议中规定，同一局域网中的一台主机要和另外一台主机进行直接通讯，必需要知道目标主机的MAC地址。而在TCP/IP协议中，网络层和传输层只关心目标主机的IP地址。这就致使在以太网中使用IP协议时，数据链路层的以太网协议接到上层IP协议提供的数据中，只包含目的主机的IP地址。因而须要一种方法，根据目的主机的IP地址，得到其MAC地址。这就是ARP协议要作的事情。所谓地址解析（address resolution）就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。

另外，当发送主机和目的主机不在同一个局域网中时，即使知道目的主机的MAC地址，二者也不能直接通讯，必须通过路由转发才能够。因此此时，发送主机经过ARP协议得到的将不是目的主机的真实MAC地址，而是一台能够通往局域网外的路由器的MAC地址。因而此后发送主机发往目的主机的全部帧，都将发往该路由器，经过它向外发送。这种状况称为委托ARP或ARP代理（ARP Proxy）。

三、数据包结构

image

image

1. 目标主机的Mac地址
2. 源主机的Mac地址
3. 协议类型,代表以太网帧的类型,这里是0x0806,表明这是ARP协议帧。
4. 硬件类型,1表明是以太网。
5. 协议类型,代表上层协议的类型,这里是0x0800,表示上层协议是IP协议
6. 硬件地址长度,毫无疑问是6个字节
7. 协议长度,这里IP协议的长度是4个字节
8. 操做类型,在报文中占2个字节,1表示ARP请求,2表示ARP应答,3表示RARP请求,4表示RARP应答

   四、本地路由表

   在每台安装有TCP/IP协议的主机里都有一个ARP缓存表，表里的IP地址与MAC地址是一对应的，以下表所示
   

   

   image

   
   以主机A（192.168.38.10）向主机B（192.168.38.11）发送数据为例。

1.当发送数据时，主机A会在本身的ARP缓存表中寻找是否有目标IP地址。若是找到就知道目标MAC地址为（00-BB-00-62-C2-02），直接把目标MAC地址写入帧里面发送就可。

2.若是在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播（ARP request），目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的全部主机发出这样的询问：“192.168.38.11的MAC地址是什么？”

3.网络上其余主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A作出这样的回应（ARP response）：“192.168.38.11的MAC地址是00-BB-00-62-C2-02”，此回应以单播方式。这样，主机A就知道主机B的MAC地址，它就能够向主机B发送信息。同时它还更新本身的ARP高速缓存（ARP cache），下次再向主机B发送信息时，直接从ARP缓存表里查找就可。

ARP缓存表采用老化机制，在一段时间内若是表中的某一行没有使用，就会被删除，这样能够大大减小ARP缓存表的长度，加快查询速度。

五、GARP

GARP（gratuitous ARP），他是指主机发送ARP查询（广播）本身的IP地址，当ARP功能被开启或者是端口初始配置完成，主机向网络发送免费ARP来查询本身的IP地址确认地址惟一可用。

做用：

一、肯定网络中是否有其余主机使用了IP地址，若是有应答则产生错误消息。
二、免费ARP能够作更新ARP缓存用，网络中的其余主机收到该广播则在缓存中更新条目，收到该广播的主机不管是否存在与IP地址相关的条目都会强制更新，若是存在旧条目则会将MAC更新为广播包中的MAC。

六、ARP实例

使用 arp -d -a 删除本地路由表。打开抓包工具从新连接网络能够看到一下截图

image

1.本地发送一个广播ARP包获取局域网网关的MAC地址。

2.路由器接收到消息之后以单播的形式应答，本地将路由器MAC的地址写入本地路由表中。

3.因为使用的是DHCP获取协议，本地还会发送一个GRAP的广播ARP包，确认当前IP是否有冲突。

七、ARP欺骗、攻击

ARP欺骗的运做原理是由攻击者发送假的ARP数据包到网络上，尤为是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。所以攻击者可将这些流量另行转送到真正的网关（被动式数据包嗅探，passive sniffing）或是篡改后再转送（中间人攻击，man-in-the-middle attack）。攻击者亦可将ARP数据包导到不存在的MAC地址以达到阻断服务攻击的效果。
对ARP攻击感兴趣能够阅读Jpcap实现ARP攻击