什么是ARP

网络ARP技术08082107冯晓晨08082108柯晶晶08082109蒋晓飞什么是ARP？地址解析协议（AddressResolutionProtocol，ARP）是在仅知道主机的IP地址时确定其物理地址的一种协议。那么ARP和RARP的工作原理是什么呢？RARP的工作原理：1.发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址；2.本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址；3.如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；4.如果不存在，RARP服务器对此不做任何的响应；5.源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败ARP的工作原理：1、上网监控并不需要被监视电脑安装软件的,内网监控才需要安装工作站；2、对付ARP攻击方式监控软件的解决方法：路由绑定IP和MAC，被监视电脑安装彩影的ANTIARP，所有ARP攻击所谓监控软件就自动成废物不用管他；如P2P终结、执法官、长角牛、聚生、幽狗、剪刀手等，这些全成废物垃圾了；360AR火墙或瑞星等的效率太低是可能无用的哦；那些垃圾软件都是采用牺牲网络带宽为代价疯狂发送ARP攻击包的方法，所以网络经常掉线或网络瘫痪就是这个原因；3、对付WINPCAP免费接口驱动的旁听监控软件方法：检查是否路由出来连接了一个共享式HUB（10M老式HUB），连接的方法是一头连接路由，一头连接交换机，一头连接一个管理电脑，而这个电脑就是采用WINPCAP免费教学接口做的玩具类的旁听监控软件；你只要卸掉WINPCAP驱动或去掉那个HUB，或把你的网线直接连接到出口路由，那么他们就失去了作用了；4、值得注意的是，类似ANYVIEW(网络警）这样的网络监控软件，做成了网桥或网关模式的话，你是怎么都逃避不了被监视的了，除非你不上网；或拔掉网线；5、假如你的网络变慢或一些应用无法用了，或P2P速度很低，是否网络莫名其妙掉线；那么你就应该检查是否ARP被攻击，是否被连接了HUB等；正被网络监控中ARP的地址解析是什么呢？为什么要进行ARP的地址解析呢？•1.使用ARP协议的目的：IP--ARP--物理地址？•2.使用ARP协议的原因：•n(1)不管网络层使用的是什么协议，在实际网络的链路上传送数据帧时，最终还是必须使用硬件地址。•(2)每一个主机都设有一个ARP高速缓存(ARPcache)，里面有所在的局域网上的各主机和路由器的IP•地址到硬件地址的映射表（命令，arp-a或arp-g——用于查看高速缓存中的所有项目）。•(3)当主机A欲向本局域网上的某个主机B发送IP数据报时，就先在其ARP高速缓存中查看有无主•机B的IP地址。如有，就可查出其对应的硬件地址，再将此硬件地址写入MAC帧，然后通过局•域网将该MAC帧发往此硬件地址。•(4)为什么我们不直接使用硬件地址进行通信3.ARP的工作示意图ARP协议是“AddressResolutionProtocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障，他的危害更加隐蔽。什么是ARP协议首先我们可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的，正常的TCP/IP网络是不会有这样的错误包发送的，而人工发送又比较麻烦。也就是说当黑客没有运行这个恶毒程序的话，网络上通信应该是一切正常的，保留在各个连接网络计算机上的ARP缓存表也应该是正确的，只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。接下来我们来阐述下ARP欺骗的原理.*总结:ARP欺骗是把自己的MAC地址伪造成网关的地址来欺骗其它的主机ARP欺骗的原理ARP欺骗的原理第一步：假设这样一个网络，一个Hub或交换机连接了3台机器，依次是计算机A，B，C。•A的地址为：IP：192.168.1.1MAC:AA-AA-AA-AA-AA-AA•B的地址为：IP：192.168.1.2MAC:BB-BB-BB-BB-BB-BB•C的地址为：IP：192.168.1.3MAC:CC-CC-CC-CC-CC-CC第二步：正常情况下在A计算机上运行ARP-A查询ARP缓存表应该出现如下信息。•Interface:192.168.1.1onInterface0x1000003•InternetAddressPhysicalAddressType•192.168.1.3CC-CC-CC-CC-CC-CCdynamic第三步：在计算机B上运行ARP欺骗程序，来发送ARP欺骗包。•B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.1.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。而且A不知道其实是从B发送过来的，A这里只有192.168.1.3（C的IP地址）和无效的DD-DD-DD-DD-DD-DDmac地址。第四步：欺骗完毕我们在A计算机上运行ARP-A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。•Interface:192.168.1.1onInterface0x1000003•InternetAddressPhysicalAddressType•192.168.1.3DD-DD-DD-DD-DD-DDdynamic从上面的介绍我们可以清楚的明白原来网络中传输数据包最后都是要根据MAC地址信息的，也就是说虽然我们日常通讯都是通过IP地址，但是最后还是需要通过ARP协议进行地址转换，将IP地址变为MAC地址。而上面例子中在计算机A上的关于计算机C的MAC地址已经错误了，所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。问题也会随着ARP欺骗包针对网关而变本加厉，当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了。什么是ARP攻击？ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗手段”截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。遭受ARP攻击后现象ARP欺骗木马的中毒现象表现为：1.使用局域网时会突然掉线，过一段时间后又会恢复正常。2.用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障3.如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp-d后，又可恢复上网。THEEND!THANKYOU!