传说中的 ARP

咱们知道，当咱们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是经过ARP协议来完成的。ARP协议对网络安全具备重要的意义。经过伪造IP地址和MAC地址实现ARP欺骗，可以在网络中产生大量的ARP通讯量使网络阻塞。因此网管们应深刻理解ARP协议。

1、什么是ARP协议

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另外一个主机进行直接通讯，必需要知道目标主机的MAC地址。但这个目标MAC地址是如何得到的呢？它就是经过地址解析协议得到的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是经过目标设备的IP地址，查询目标设备的MAC地址，以保证通讯的顺利进行。

2、ARP协议的工做原理

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如附表所示。

附表

咱们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在本身的ARP缓存表中寻找是否有目标IP地址。若是找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就能够了；若是在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的全部主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其余主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A作出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就能够向主机B发送信息了。同时它还更新了本身的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就能够了。ARP缓存表采用了老化机制，在一段时间内若是表中的某一行没有使用，就会被删除，这样能够大大减小ARP缓存表的长度，加快查询速度。
        ARP***就是经过伪造IP地址和MAC地址实现ARP欺骗，可以在网络中产生大量的ARP通讯量使网络阻塞，***者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，形成网络中断或中间人***。
ARP***主要是存在于局域网网络中，局域网中如有一我的感染ARP***，则感染该ARP***的系统将会试图经过“ARP欺骗”手段截获所在网络内其它计算机的通讯信息，并所以形成网内其它计算机的通讯故障。

3、如何查看ARP缓存表

ARP缓存表是能够查看的，也能够添加和修改。在命令提示符下，输入“arp -a”就能够查看ARP缓存表中的内容了，如附图所示。

用“arp -d”命令能够删除ARP表中某一行的内容；用“arp -s”能够手动在ARP表中指定IP地址与MAC地址的对应。

4、ARP欺骗

其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在做怪。ARP欺骗***已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。

从影响网络链接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另外一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照必定的频率不断进行，使真实的地址信息没法经过更新保存在路由器中，结果路由器的全部数据只能发送给错误的MAC地址，形成正常PC没法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是创建假网关，让被它欺骗的PC向假网关发数据，而不是经过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

通常来讲，ARP欺骗***的后果很是严重，大多数状况下会形成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不认可宽带故障。并且若是第一种ARP欺骗发生时，只要重启路由器，网络就能全面