简述ARP协议

作者：课课家教育来源： http://www.kokojia.com点击数：1463发布时间： 2018-01-13 13:00:42

　　在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但是这个目标Mac地址是如何获得？它就是通过地址解析协议获得的。ARP协议对网络安全具有很重要的意义，今天我们就来了解ARP协议。
　　1、什么是ARP协议？
　　ARP（Address Resolution Protocol，地址解析协议）它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。
　　数据链路如以太网或令牌环网都有自己的寻址机制，这是使用数据链路的任何网络层都必须遵循的，IP数据包通常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址（Mac地址）传输以太网数据包，设备驱动程序从不检查IP数据报中的目的IP地址。因此必须把IP目的地址转换为以太网目的地址。在以太网中，一个主机要和另一个主机直接通信，必须要知道目标主机的Mac地址。但这个目标Mac地址是如何获得的呢？它就是通过地址解析获得的。ARP协议用于将网络中的IP地址解析为目的硬件地址（Mac地址），以保证通信的顺利进行。
　　2、ARP报文结构
　　ARP报文分为ARP请求和ARP应答报文，报文格式如下图所示：
　　简述ARP协议_通信_网络安全_IP地址_课课家教育
　　以太网帧头中的前两个字段是以太网的目的地址和源地址。目的地址全为1时为广播地址。
　　两个字节长的以太网帧类型表示后面数据的类型。对于ARP请求或应答来说，该字段的值为0X0806。
　　硬件类型：标志硬件地址的类型。它的值为1表示以太网地址。
　　协议类型：表示要映射的协议地址类型。它的值为0x0800即表示IP地址。
　　硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度，以字节为单位。对于以太网上IP地址的ARP请求或应答来说，它们的值分别为6和4.
　　操作类型（OP）：1表示ARP请求，2表示ARP应答。
　　发送端Mac地址：发送方设备的硬件地址
　　发送端IP地址：发送方设备的IP地址
　　目标Mac地址：接收方设备的硬件地址
　　目标IP地址：接收方设备的IP地址
　　3、ARP协议解析过程
　　ARP协议解析过程：
　　如果A主机要对B主机进行数据传输的话
　　1）A主机先会查看自己的ARP高速缓存中是否有B主机的Mac地址记录
　　2）如果A主机的高速缓存中有B主机的记录，则直接通过这个Mac地址进行数据的传输。
　　3）如果A主机的高速缓存中没有B主机的记录，则会向局域网的所有主机广播一个ARP请求，寻找B主机的Mac地址。
　　4）当B主机收到A主机广播的ARP请求，就会直接给A主机回复一个ARP数据包。
　　5）当A主机接收到B主机发送过来的请求后，将B的Mac地址写入高速缓存中，然后通过该Mac地址，A主机向B主机进行数据流的传输。
　　如果A主机和B主机不在同一个局域网的话，但是A主机要向B主机传输数据的话
　　1）A主机先通过广播一个ARP请求找到本网络中的一个路由器的MAC地址，然后将数据包直接给路由器。
　　2）当路由接收到数据包后，如果主机在同网络中的话，这时通过ARP找到B主机，然后将数据包给B主机。
　　3）如果B主机不和A主机发送数据的路由器在同一网络内的话，则路由器会通过ARP协议找到下一跳的路由器，然后将数据包发送到该路由上，一次类推。
　　4、ARP欺骗
　　ARP欺骗是指通过一定手段使自己拥有其他身份，从而达到欺骗的目的。ARP协议的工作原理决定ARP欺骗只会存在局域网内。
　　ARP欺骗主要分为两种，一种是对路由器ARP表的欺骗，另外一种是对内网主机的网关欺骗。
　　第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网Mac地址，并按照一定的频率不断通知路由器，使真实的地址信息无法保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常主机无法收到信息。
　　第二种ARP欺骗的原理是冒充网关。它的原理是冒充网关，不停的向网络中发送构造好的广播ARP帧，让其它主机的ARP高速缓存中保存的网关的IP地址对应的MAC地址是本机的MAC地址，让被欺骗的主机向本机发数据，本机就可以截获这些数据，如果本机向外转发这些数据，那些被欺骗的主机感觉一切正常，它们感觉不到数据已经被截获了；本机如果不转发这些数据，那些被欺骗的主机就无法对外进行通信了。
　　当然，还有其它欺骗方式：如欺骗某一台主机、用ARP进行泛洪攻击等。
　　5、ARP欺骗攻击的防范
　　1）建立MAC数据库，把局域网内所有网卡的MAC和对应的IP地址记录下来，以便及时查询备案。
　　2）用监控软件可以监控是否受到ARP攻击。例如网关监听：网关上面使用监控程序截取每个ARP帧，用分析软件分析这些ARP帧。ARP欺骗攻击的帧一般有以下两个特点，满足之一可视为攻击帧：（1）以太网数据包头的源地址、目标地址和ARP数据帧的协议地址不匹配；（2）ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库 MAC－>IP 不匹配。查看这些数据包（以太网数据包）的源地址(也有可能伪造)，就大致知道哪台机器在发起攻击了。
　　更多的阅读欢迎登陆课课家或关注公众号【课课家】/【课课家IT精品课程】。