ARP

發(fā)布時間：2023-09-24

地址解析協(xié)議，即arp（address resolution protocol），是根據(jù)ip地址 獲取物理地址的一個tcp/ip協(xié)議。主機發(fā)送信息時 將包含目標(biāo)ip地址的arp請求廣播到網(wǎng)絡(luò)上的所有主機，并接收返回消息，以此確定目標(biāo)的物理地址；收到返回消息后 將該ip地址和物理地址存入本機arp緩存中 并保留一定時間，下次請求時直接查詢arp緩存 以節(jié)約資源。
地址解析協(xié)議是建立在網(wǎng)絡(luò)中各個主機 互相信任的基礎(chǔ)上的，網(wǎng)絡(luò)上的主機可以自主發(fā)送arp應(yīng)答消息，其他主機收到應(yīng)答報文時 不會檢測該報文的真實性就會將其記入本機arp緩存；由此攻擊者就可以向某一主機發(fā)送偽arp應(yīng)答報文，使其發(fā)送的信息 無法到達預(yù)期的主機或到達錯誤的主機，這就構(gòu)成了一個arp欺騙。arp命令可用于查詢本機arp緩存中ip地址和mac地址的對應(yīng)關(guān)系、添加或刪除靜態(tài)對應(yīng)關(guān)系等。相關(guān)協(xié)議有rarp、代理arp。ndp用于在ipv6中代替地址解析協(xié)議。
地址解析協(xié)議由互聯(lián)網(wǎng)工程任務(wù)組（ietf）在1982年11月發(fā)布的rfc 826中描述制定。地址解析協(xié)議是ipv4中必不可少的協(xié)議，而ipv4是使用較為廣泛的互聯(lián)網(wǎng)協(xié)議版本。osi模型把網(wǎng)絡(luò)工作分為七層，ip地址在osi模型的第三層，mac地址在第二層，彼此不直接打交道。在通過以太網(wǎng)發(fā)送ip數(shù)據(jù)包時，需要先封裝第三層（32位ip地址）、第二層（48位mac地址）的報頭，但由于發(fā)送時只知道目標(biāo)ip地址，不知道其mac地址，又不能跨第二、三層，所以需要使用地址解析協(xié)議。使用地址解析協(xié)議，可根據(jù)網(wǎng)絡(luò)層ip數(shù)據(jù)包包頭中的ip地址信息解析出目標(biāo)硬件地址（mac地址）信息，以保證通信的順利進行。
地址解析協(xié)議工作過程如下
主機a的ip地址為192.168.1.1，mac地址為0a-11-22-33-44-01；
主機b的ip地址為192.168.1.2，mac地址為0a-11-22-33-44-02；
當(dāng)主機a要與主機b通信時，地址解析協(xié)議可以將主機b的ip地址（192.168.1.2）解析成主機b的mac地址，以下為工作流程：
第1步：根據(jù)主機a上的路由表內(nèi)容，ip確定用于訪問主機b的轉(zhuǎn)發(fā)ip地址是192.168.1.2。然后a主機在自己的本地arp緩存中檢查主機b的匹配mac地址。
第2步：如果主機a在arp緩存中沒有找到映射，它將詢問192.168.1.2的硬件地址，從而將arp請求幀廣播到本地網(wǎng)絡(luò)上的所有主機。源主機a的ip地址和mac地址都包括在arp請求中。本地網(wǎng)絡(luò)上的每臺主機都接收到arp請求并且檢查是否與自己的ip地址匹配。如果主機發(fā)現(xiàn)請求的ip地址與自己的ip地址不匹配，它將丟棄arp請求。
第3步：主機b確定arp請求中的ip地址與自己的ip地址匹配，則將主機a的ip地址和mac地址映射添加到本地arp緩存中。
第4步：主機b將包含其mac地址的arp回復(fù)消息直接發(fā)送回主機a。
第5步：當(dāng)主機a收到從主機b發(fā)來的arp回復(fù)消息時，會用主機b的ip和mac地址映射更新arp緩存。本機緩存是有生存期的，生存期結(jié)束后，將再次重復(fù)上面的過程。主機b的mac地址一旦確定，主機a就能向主機b發(fā)送ip通信了。
arp緩存是個用來儲存ip地址和mac地址的緩沖區(qū)，其本質(zhì)就是一個ip地址-->mac地址的對應(yīng)表，表中每一個條目分別記錄了 網(wǎng)絡(luò)上其他主機的ip地址和對應(yīng)的mac地址。每一個以太網(wǎng)或令牌環(huán)網(wǎng)絡(luò)適配器 都有自己單獨的表。當(dāng)?shù)刂方馕鰠f(xié)議被詢問一個已知ip地址節(jié)點的mac地址時，先在arp緩存中查看，若存在，就直接返回與之對應(yīng)的mac地址，若不存在，才發(fā)送arp請求向局域網(wǎng)查詢。
為使廣播量最小，arp維護ip地址到mac地址映射的緩存以便將來使用。arp緩存可以包含動態(tài)和靜態(tài)項目。動態(tài)項目隨時間推移自動添加和刪除。每個動態(tài)arp緩存項的潛在生命周期是10分鐘。新加到緩存中的項目帶有時間戳，如果某個項目添加后2分鐘內(nèi)沒有再使用，則此項目過期并從arp緩存中刪除；如果某個項目已在使用，則又收到2分鐘的生命周期；如果某個項目始終在使用，則會另外收到2分鐘的生命周期，一直到10分鐘的最長生命周期。靜態(tài)項目一直保留在緩存中，直到重新啟動計算機為止。
地址解析協(xié)議是通過報文工作的。報文包括如下字段：
硬件類型、
協(xié)議類型、
硬件地址長度、
協(xié)議長度、
操作類型
arp緩存中包含一個或多個表，它們用于存儲ip地址及其經(jīng)過解析的mac地址。arp命令用于查詢本機arp緩存中ip地址-->mac地址的對應(yīng)關(guān)系、添加或刪除靜態(tài)對應(yīng)關(guān)系等。如果在沒有參數(shù)的情況下使用，arp命令將顯示幫助信息。
常見用法
arp -a或arp –g
用于查看緩存中的所有項目。-a和-g參數(shù)的結(jié)果是一樣的，多年來-g一直是unix平臺上用來顯示arp緩存中所有項目的選項，而windows用的是arp -a（-a可被視為all，即全部的意思），但它也可以接受比較傳統(tǒng)的-g選項。
地址解析協(xié)議是建立在網(wǎng)絡(luò)中各個主機互相信任的基礎(chǔ)上的，它的誕生使得網(wǎng)絡(luò)能夠更加高效的運行，但其本身也存在缺陷：
arp地址轉(zhuǎn)換表是依賴于計算機中高速緩沖存儲器 動態(tài)更新的，而高速緩沖存儲器的更新是受到更新周期的限制的，只保存最近使用的 地址映射關(guān)系表項，這使得攻擊者有了可乘之機，可以在高速緩沖存儲器更新表項之前修改地址轉(zhuǎn)換表，實現(xiàn)攻擊。arp請求為廣播形式發(fā)送的，網(wǎng)絡(luò)上的主機可以自主發(fā)送arp應(yīng)答消息，并且當(dāng)其他主機收到應(yīng)答報文時不會檢測該報文的真實性就將其記錄在本地的mac地址轉(zhuǎn)換表，這樣攻擊者就可以向目標(biāo)主機發(fā)送偽arp應(yīng)答報文，從而篡改本地的mac地址表。 arp欺騙可以導(dǎo)致目標(biāo)計算機與網(wǎng)關(guān)通信失敗，更會導(dǎo)致通信重定向，所有的數(shù)據(jù)都會通過攻擊者的機器，因此存在極大的安全隱患。
防御措施
不要把網(wǎng)絡(luò)安全信任關(guān)系建立在ip基礎(chǔ)上或mac基礎(chǔ)上（rarp同樣存在欺騙的問題），理想的關(guān)系應(yīng)該建立在ip+mac基礎(chǔ)上。
設(shè)置靜態(tài)的mac-->ip對應(yīng)表，不要讓主機刷新設(shè)定好的轉(zhuǎn)換表。
除非很有必要，否則停止使用arp，將arp做為永久條目保存在對應(yīng)表中。
使用arp服務(wù)器。通過該服務(wù)器查找自己的arp轉(zhuǎn)換表來響應(yīng)其他機器的arp廣播。確保這臺arp服務(wù)器不被黑。
地址解析協(xié)議是ipv4中必不可少的協(xié)議，但在ipv6中將不再存在地址解析協(xié)議。在ipv6中，地址解析協(xié)議的功能將由ndp，即 鄰居發(fā)現(xiàn)協(xié)議 實現(xiàn)，它使用一系列ipv6控制信息報文（icmpv6）來實現(xiàn)相鄰節(jié)點（同一鏈路上的節(jié)點）的交互管理，并在一個子網(wǎng)中保持網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址之間的映射。鄰居發(fā)現(xiàn)協(xié)議中定義了5種類型的信息：路由器宣告、路由器請求、路由重定向、鄰居請求和鄰居宣告。與arp相比，ndp可以實現(xiàn)路由器發(fā)現(xiàn)、前綴發(fā)現(xiàn)、參數(shù)發(fā)現(xiàn)、地址自動配置、地址解析（代替arp和rarp）、下一跳確定、鄰居不可達檢測、重復(fù)地址檢測、重定向等更多功能。
ipv4中地址解析協(xié)議是獨立的協(xié)議，負(fù)責(zé)ip地址到mac地址的轉(zhuǎn)換，對不同的數(shù)據(jù)鏈路層協(xié)議 要定義不同的地址解析協(xié)議。ipv6中ndp包含了arp的功能，且運行于因特網(wǎng)控制信息協(xié)議icmpv6上，更具有一般性，包括更多的內(nèi)容，而且適用于各種數(shù)據(jù)鏈路層協(xié)議；
地址解析協(xié)議以及icmpv4路由器發(fā)現(xiàn) 和icmpv4重定向報文基于廣播，而ndp的鄰居發(fā)現(xiàn)報文基于高效的組播和單播。
綜上，詳細介紹了地址解析協(xié)議，通過地址解析協(xié)議，主機發(fā)送信息時將包含目標(biāo)ip地址的arp請求廣播到網(wǎng)絡(luò)上的所有主機，并接收返回消息，以此確定目標(biāo)的物理地址。