ARP協議，以及ARP欺騙

1.定義：

地址解析協議，即ARP（Address Resolution Protocol），是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到網絡上的所有主機，并接收返回消息，以此確定目標的物理地址；收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間，下次請求時直接查詢ARP緩存以節約資源。地址解析協議是建立在網絡中各個主機互相信任的基礎上的，網絡上的主機可以自主發送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存；由此攻擊者就可以向某一主機發送偽ARP應答報文，使其發送的信息無法到達預期的主機或到達錯誤的主機，這就構成了一個ARP欺騙。ARP命令可用于查詢本機ARP緩存中IP地址和MAC地址的對應關系、添加或刪除靜態對應關系等。相關協議有RARP、代理ARP。NDP用于在IPv6中代替地址解析協議。

2.工作過程：

主機A的IP地址為192.168.1.1，MAC地址為0A-11-22-33-44-01；

主機B的IP地址為192.168.1.2，MAC地址為0A-11-22-33-44-02；

當主機A要與主機B通信時，地址解析協議可以將主機B的IP地址（192.168.1.2）解析成主機B的MAC地址，以下為工作流程：

第1步：根據主機A上的路由表內容，IP確定用于訪問主機B的轉發IP地址是192.168.1.2。然后A主機在自己的本地ARP緩存中檢查主機B的匹配MAC地址。

第2步：如果主機A在ARP緩存中沒有找到映射，它將詢問192.168.1.2的硬件地址，從而將ARP請求幀廣播到本地網絡上的所有主機。源主機A的IP地址和MAC地址都包括在ARP請求中。本地網絡上的每臺主機都接收到ARP請求并且檢查是否與自己的IP地址匹配。如果主機發現請求的IP地址與自己的IP地址不匹配，它將丟棄ARP請求。

第3步：主機B確定ARP請求中的IP地址與自己的IP地址匹配，則將主機A的IP地址和MAC地址映射添加到本地ARP緩存中。

第4步：主機B將包含其MAC地址的ARP回復消息直接發送回主機A。

第5步：當主機A收到從主機B發來的ARP回復消息時，會用主機B的IP和MAC地址映射更新ARP緩存。本機緩存是有生存期的，生存期結束后，將再次重復上面的過程。主機B的MAC地址一旦確定，主機A就能向主機B發送IP通信了

3.工作要素：ARP緩存

查看ARP緩存?[2]

ARP緩存是個用來儲存IP地址和MAC地址的緩沖區，其本質就是一個IP地址-->MAC地址的對應表，表中每一個條目分別記錄了網絡上其他主機的IP地址和對應的MAC地址。每一個以太網或令牌環網絡適配器都有自己單獨的表。當地址解析協議被詢問一個已知IP地址節點的MAC地址時，先在ARP緩存中查看，若存在，就直接返回與之對應的MAC地址，若不存在，才發送ARP請求向局域網查詢。

為使廣播量最小，ARP維護IP地址到MAC地址映射的緩存以便將來使用。ARP緩存可以包含動態和靜態項目。動態項目隨時間推移自動添加和刪除。每個動態ARP緩存項的潛在生命周期是10分鐘。新加到緩存中的項目帶有時間戳，如果某個項目添加后2分鐘內沒有再使用，則此項目過期并從ARP緩存中刪除；如果某個項目已在使用，則又收到2分鐘的生命周期；如果某個項目始終在使用，則會另外收到2分鐘的生命周期，一直到10分鐘的最長生命周期。靜態項目一直保留在緩存中，直到重新啟動計算機為止

4.ARP命令

ARP緩存中包含一個或多個表，它們用于存儲IP地址及其經過解析的MAC地址。ARP命令用于查詢本機ARP緩存中IP地址-->MAC地址的對應關系、添加或刪除靜態對應關系等。如果在沒有參數的情況下使用，ARP命令將顯示幫助信息。

常見用法

arp -a或arp –g

用于查看緩存中的所有項目。-a和-g參數的結果是一樣的，多年來-g一直是UNIX平臺上用來顯示ARP緩存中所有項目的選項，而Windows用的是arp -a（-a可被視為all，即全部的意思），但它也可以接受比較傳統的-g選項。

arp -a Ip

如果有多個網卡，那么使用arp -a加上接口的IP地址，就可以只顯示與該接口相關的ARP緩存項目。

5.APR欺騙機制

ARP欺騙的運作原理是由攻擊者發送假的ARP數據包到網上上，尤其是送到網關上。其目的是要讓送至特定的IP地址的流量被錯誤送到攻擊者所取代的地方。因此攻擊者可將這些流量另行轉送到真正的網關（被動式數據包嗅探，passive sniffing）或是篡改后再轉送（中間人攻擊，man-in-the-middle attack）。攻擊者亦可將ARP數據包導到不存在的MAC地址以達到阻斷服務攻擊的效果，例如netcut軟件。

例如某一的IP地址是192.168.0.254，其MAC地址為00-11-22-33-44-55，網上上的計算機內ARP表會有這一筆ARP記錄。攻擊者發動攻擊時，會大量發出已將192.168.0.254的MAC地址篡改為00-55-44-33-22-11的ARP數據包。那么網上上的計算機若將此偽造的ARP寫入自身的ARP表后，計算機若要透過網上網關連到其他計算機時，數據包將被導到00-55-44-33-22-11這個MAC地址，因此攻擊者可從此MAC地址截收到數據包，可篡改后再送回真正的網關，或是什么也不做，讓網上無法連線。

簡單案例分析：這里用一個最簡單的案例來說明ARP欺騙的核心步驟。假設在一個LAN里，只有三臺主機A、B、C，且C是攻擊者。

1. 攻擊者聆聽局域網上的MAC地址。它只要收到兩臺主機洪泛的ARP Request，就可以進行欺騙活動。
2. 主機A、B都洪泛了ARP Request.攻擊者現在有了兩臺主機的IP、MAC地址，開始攻擊。
3. 攻擊者發送一個ARP Reply給主機B，把此包protocol header里的sender IP設為A的IP地址，sender mac設為攻擊者自己的MAC地址。
4. 主機B收到ARP Reply后，更新它的ARP表，把主機A的MAC地址（IP_A, MAC_A）改為（IP_A, MAC_C）。
5. 當主機B要發送數據包給主機A時，它根據ARP表來封裝數據包的Link報頭，把目的MAC地址設為MAC_C，而非MAC_A。
6. 當交換機收到B發送給A的數據包時，根據此包的目的MAC地址（MAC_C）而把數據包轉發給攻擊者C。
7. 攻擊者收到數據包后，可以把它存起來后再發送給A，達到偷聽效果。攻擊者也可以篡改數據后才發送數據包給A，造成傷害。?[1]?