ARP

1. Ip地址解析mac地址的过程

 

主机10.1.1.1想发送数据给主机10.1.1.2，检查缓存，发现没有10.1.1.2的mac地址

1.先检查自己的缓存看有没有，没有的话发送广播，所有主机都可以接收到

2..2收到后将mac地址私聊给10.1.1.1，恢复单播给10.1.1.1 .1收到后并将mac地址存入缓存

1.1 命令行测试

Arp -a 显示所有缓存

 

Arp -d清除所有缓存

 

Arp相应过程

1.2.ARP

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域

网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询

ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会

检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就

构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于

在IPv6中代替地址解析协议。

 

1.1 ARP协议概述

 

　　IP地址与MAC地址的通信

　　Address Resolution Protocol，地址解析协议

　　将一个已知的IP地址解析成MAC地址

1.2 ARP协议过程

当一个基于TCP/IP的应用程序需要从一台主机发送数据给另一台主机时，它把信息分割并封装成包，附上目的主机的IP地址。然后寻找IP地址到实际MAC地址的映射，这

需要发送ARP广播消息。

当ARP找到了目的主机MAC地址后，就可以形成待发送帧的完整以太网帧头。最后，协议栈将IP包封装到以太网帧中进行传送。如图所示，描述了ARP广播过程。

在图中，当主机A要和主机B通信（如主机A Ping主机B）时。主机A会先检查其ARP缓存内是否有主机B的MAC地址。如果没有，主机A会发送一个ARP请求广播

包，此包内包含着其欲与之通信的主机的IP地址，也就是主机B的IP地址。

当主机B收到此广播后，会将自己的MAC地址利用ARP响应包传给主机A，并更新自己的ARP缓存，也就是同时将主机A的IP地址/MAC地址对保存起来，以供后面使用。

主机A在得到主机B的MAC地址后，就可以与主机B通信了。同时，主机A也将主机B的IP地址/MAC地址对保存在自己的ARP缓存内。

1.3arp攻击原理与arp欺骗的原理

 

1.   arp攻击的原理

   一般情况,arp攻击得到主要目的是使网络无法正常通信,主要包括一下两种行为。

       1.攻击主机制造假的arp应答,并发送给局域网中除被攻击之外的所有主机。arp应答中包含被    攻击主机的IP地址和虚假的MAC地址。

      2.攻击主机制造假的arp应答,并发送给被攻击的主机,arp应答中包含除被攻击攻击主机之外的所有主机的IP地址和虚假的MAC地址。

      3.只要执行上诉arp攻击行为中的一种就可以实现被攻击主机和其他主机无法通信.

    

   2.ARP欺骗的原理

       1.一般情况下,ARP欺骗并不是使网络无法正常通信,而是通过冒充网关或其他主机使得到达网关或主机的流量通过攻击进行转发。通过转发流量可以对流量进行控制和查看,从而控制流量或得到机密信息。

      2.ARP欺骗发送arp应答给局域网中其他的主机,其中包含网关的IP地址和进行ARP欺骗的主机MAC地址;并且也发送了ARP应答给网关,其中包含局域网中所有主机的IP地址和进行arp欺骗的主机MAC地址。当局域网中主机和网关收到ARP应答跟新ARP表后,主机和网关之间的流量就需要通过攻击主机进行转发。冒充主机的过程和冒充网关相同。