arp协议书范文（精选8篇）

arp协议书 第1篇

对于网络的传输，IP地址也就是主机地址的解析是离不开ARP协议的使用的，但这方面也非常容易出现问题。我们现在就来简单谈谈ARP协议的一些基本地址解析的内容。

解释本地IP地址(要了解地址解析工作过程的朋友看好了)主机IP地址解析为硬件地址：

(1)当一台主机要与别的主机通信时，初始化ARP请求。当该IP断定IP地址是本地时，源主机在ARP缓存中查找目标主机的硬件地址。

(2)要是找不到映射的话，ARP协议建立一个请求，源主机IP地址和硬件地址会被包括在请求中，该请求通过广播，使所有本地主机均能接收并处理。

(3)本地网上的每个主机都收到广播并寻找相符的IP地址。

(4)当目标主机断定请求中的IP地址与自己的相符时，直接发送一个ARP答复，将自己的硬件地址传给源主机。以源主机的IP地址和硬件地址更新它的ARP缓存。源主机收到回答后便建立起了通信。

解析远程IP地址

不同网络中的主机互相通信，ARP协议广播的是源主机的缺省网关，

目标IP地址是一个远程网络主机的话，ARP将广播一个路由器的地址。

(1)通信请求初始化时，得知目标IP地址为远程地址。源主机在本地路由表中查找，若无，源主机认为是缺省网关的IP地址。在ARP缓存中查找符合该网关记录的IP地址(硬件地址)。

(2)若没找到该网关的记录，ARP协议将广播请求网关地址而不是目标主机的地址。路由器用自己的硬件地址响应源主机的ARP请求。源主机则将数据包送到路由器以传送到目标主机的网络，最终达到目标主机。

(3)在路由器上，由IP决定目标IP地址是本地还是远程。如果是本地，路由器用ARP协议(缓存或广播)获得硬件地址。如果是远程，路由器在其路由表中查找该网关，然后运用ARP获得此网关的硬件地址。数据包被直接发送到下一个目标主机。

(4)目标主机收到请求后，形成ICMP响应。因源主机在远程网上，将在本地路由表中查找源主机网的网关。找到网关后，ARP即获取它的硬件地址。

(5)如果此网关的硬件地址不在ARP协议缓存中，通过ARP广播获得。一旦它获得硬件地址，ICMP响应就送到路由器上，然后传到源主机。

arp协议书 第2篇

了解这些常识后，现在就可以介绍在以太网络中ARP欺骗是如何产生了，可以看看如下一个例子。

1．同网段ARP欺骗分析

如下所示，三台主机的IP地址和MAC地址分布如下：

A: IP地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA；

B: IP地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB:BB；

C: IP地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC。

一个位于主机B的入侵者想非法进入主机A，可是这台主机上安装有防火墙。通过收集资料他知道这台主机A的防火墙只对主机C有信任关系（开放23端口（telnet））。而他必须要使用telnet来进入主机A，这个时候他应该如何处理呢？

入侵者必须让主机A相信主机B就是主机C，如果主机A和主机C之间的信任关系是建立在IP地址之上的。如果单单把主机B的IP地址改的和主机C的一样，那是不能工作的，至少不能可靠地工作。如果你告诉以太网卡设备驱动程序，自己IP是192.168.0.3，那么这只是一种纯粹的竞争关系，并不能达到目标。我们可以先研究C这台机器，如果我们能让这台机器暂时当掉，竞争关系就可以解除，这个还是有可能实现的。在机器C宕掉的同时，将机器B的IP地址改为192.168.0.3，这样就可以成功的通过23端口telnet到机器A上面，而成功的绕过防火墙的限制。

上面的这种想法在下面的情况下是没有作用的，如果主机A和主机C之间的信任关系是建立在硬件地址的基础上。这个时候还需要用ARP欺骗的手段，让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址。

我们可以人为地制造一个arp_reply的响应包，发送给想要欺骗的主机，这是可以实现的，因为协议并没有规定必须在接收到arp_echo后才可以发送响应包。这样的工具很多，我们也可以直接用Wireshark抓一个arp响应包，然后进行修改。

可以人为地制造这个包。可以指定ARP包中的源IP、目标IP、源MAC地址、目标MAC地址。这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的。

下面是具体的步骤。

（1）他先研究192.0.0.3这台主机，发现这台主机的漏洞。

（2）根据发现的漏洞使主机C宕掉，暂时停止工作。

（3）这段时间里，入侵者把自己的IP改成192.0.0.3。

（4）他用工具发一个源IP地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A，要求主机A更新自己的ARP转换表。

（5）主机更新了ARP表中关于主机C的IP-->MAC对应关系。

（6）防火墙失效了，入侵的IP变成合法的MAC地址，可以telnet 了。

（7）上面就是一个ARP的欺骗过程，这是在同网段发生的情况，但是，提醒注意的是，在B和C处于不同网段的时候，上面的方法是不起作用的。

[NextPage]

2．不同网段ARP欺骗分析

假设A、C位于同一网段而主机B位于另一网段，三台机器的ip地址和硬件地址如下：

A: IP地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA；

B: IP地址 192.168.1.2 硬件地址 BB:BB:BB:BB:BB:BB；

C: IP地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC。

在现在的情况下，位于192.168.1网段的主机B如何冒充主机C欺骗主机A呢？显然用上面的办法的话，即使欺骗成功，那么由主机B和主机A之间也无法建立telnet会话，因为路由器不会把主机A发给主机B的包向外转发，路由器会发现地址在192.168.0.这个网段之内。

现在就涉及另外一种欺骗方式--ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。

ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。路由器也会把初始数据报向它的目的地转发。

我们可以利用ICMP重定向报文达到欺骗的目的。下面是结合ARP欺骗和ICMP重定向进行攻击的步骤。

（1）为了使自己发出的非法IP包能在网络上能够存活长久一点，开始修改IP包的生存时间TTL为下面的过程中可能带来的问题做准备。把TTL改成255。（TTL定义一个IP包如果在网络上到不了主机后，在网络上能存活的时间，改长一点在本例中有利于做充足的广播）。

（2）下载一个可以自由制作各种包的工具（例如hping2）。

（3）然后和上面一样，寻找主机C的漏洞按照这个漏洞宕掉主机C。

（4）在该网络的主机找不到原来的192.0.0.3后，将更新自己的ARP对应表。于是他发送一个原IP地址为192.168.0.3硬件地址为BB:BB:BB:BB:BB:BB的ARP响应包。

（5）现在每台主机都知道了，一个新的MAC地址对应192.0.0.3，一个ARP欺骗完成了，但是，每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的IP包丢给路由。于是他还得构造一个ICMP的重定向广播。

（6）自己定制一个ICMP重定向包告诉网络中的主机：“到192.0.0.3的路由最短路径不是局域网，而是路由，请主机重定向你们的路由路径，把所有到192.0.0.3的IP包丢给路由。”

（7）主机A接收这个合理的ICMP重定向，于是修改自己的路由路径，把对192.0.0.3的通信都丢给路由器。

（8）入侵者终于可以在路由外收到来自路由内的主机的IP包了，他可以开始telnet到主机的23口。

其实上面的想法只是一种理想话的情况，主机许可接收的ICMP重定向包其实有很多的限制条件，这些条件使ICMP重定向变得非常困难。

TCP/IP协议实现中关于主机接收ICMP重定向报文主要有下面几条限制。

（1）新路由必须是直达的。

（2）重定向包必须来自去往目标的当前路由。

（3）重定向包不能通知主机用自己做路由。

（4）被改变的路由必须是一条间接路由。

由于有这些限制，所以ICMP欺骗实际上很难实现。但是我们也可以主动地根据上面的思维寻找一些其他的方法。更为重要的是我们知道了这些欺骗方法的危害性，我们就可以采取相应的防御办法。

3．ARP欺骗的防御原则

我们给出如下一些初步的防御方法。

（1）不要把你的网络安全信任关系建立在IP地址的基础上或硬件MAC地址基础上，（RARP同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。

（2）设置静态的MAC→IP对应表，不要让主机刷新你设定好的转换表。

（3）除非很有必要，否则停止使用ARP，将ARP作为永久条目保存在对应表中。在Linux下用ifconfig -arp可以使网卡驱动程序停止使用ARP。

（4）使用代理网关发送外出的通信。

ARP协议漏洞及防范措施研究 第3篇

关键词：ARP协议,IP地址,MAC地址,漏洞防范

1ARP协议及其工作原理

ARP协议 (Address Resolution Protocol) 即地址解析协议, 位于TCP / IP模型的网络层, 负责将网络层的IP 地址转换成数据链路层的物理地址, 以保证数据的顺利传输。在TCP/IP 协议中, 计算机之间的通信是通过网络层的IP地址进行的, 每一个网络结点是用IP地址 (逻辑地址) 标识的, 任何接入Internet 的主机都有一个唯一的IP地址作为标识, 由网络ID和网络内主机ID共32 位二进制数组成, 用于在网络层标识和查找计算机, 它由用户手工分配或从DHCP服务器自动获得;而在以太网中数据包则采用数据链路层中的MAC地址 (物理地址) 进行寻址, MAC地址由48 位二进制数组成, 用于标识和查找计算机, 它在产品出厂时即被固化存储在网卡中, 因此在全球都是唯一且不可改变的。因此, 必须建立IP地址与MAC 地址之间的对应 (映射) 关系, 必须把IP目的地址转换成MAC地址。

对于局域网而言ARP协议是网络正常通信的基础。为了查找与目的主机IP地址相对应的MAC地址, 源主机会以广播的形式在以太网内发送一个ARP请求数据帧, 这个过程称作ARP广播。而在接收到ARP广播的所有计算机中, 只有与数据帧中的目的MAC地址相同的主机接收该数据帧并向源主机回送一个包含其MAC地址的ARP应答, 这样一次正常的IP地址向MAC地址解析过程就完成了。每台安装有TCP/ IP协议的电脑里都有一个ARP缓存表, 表中的IP地址与MAC地址一一对应, 存放了自主机启动以来所有的IP地址与MAC地址之间的映射记录。为了尽量减少网络中ARP广播请求的次数, 主机每隔一定时间都会用对ARP缓存进行更新, 加快查询的速度。

2ARP协议的漏洞

由于ARP 协议的设计初衷是在网络绝对安全的情况下进行方便的数据传输, 因此不可避免也存在着安全缺陷, 它不检查是否发过请求包或接收的应答是否合法, 只要收到目标MAC 是自己的ARP 响应数据包或广播包都会接受并缓存, 而不提供检验IP 地址到MAC 地址对应表真实性的机制, 使得大多数主机保存了通过ARP协议得到的映射, 因此ARP 协议可能把几个IP 地址映射到同一物理地址上;同时由于缺乏必要的身份认证和鉴别机制, 使得ARP协议在使用的过程中存在着盗用IP地址和ARP欺骗等安全漏洞。任何ARP 响应都是合法的, 其应答无需认证。而且许多系统接受未请求的ARP 响应并用其信息篡改缓存, 这就为ARP 欺骗提供了可能。

ARP 欺骗的核心思想是修改每个系统ARP 表中缓存的MAC 地址与IP 地址映射表项。发送错误的ARP 广播消息给路由器, 这些错误的ARP 欺骗信息诱骗路由器转发分组到不正确的交换端口, 或者是将以受害系统为目的地的分组发送到攻击者所在的接口。ARP欺骗原理在以太网中并不存在对报文信息的真实性校验, ARP 报文也不例外, 所以无法识别出伪造的ARP 报文, 同时由于没有请求的ARP 响应报文同样能够被系统所接受并刷新目标系统的缓存, 而系统在进行ARP 解析之前都是以系统缓存不存在为前提的, 所以当有ARP 响应报文不停地刷新缓存的时候, 系统就不会主动地发出ARP 请求, 使得对本地ARP 缓存进行欺骗。

针对ARP 协议的攻击主要有: (1) 主机可以发出更改过的ARP 报文, 将一个错误的MAC 地址强行映射到目的主机的IP 地址, 致使系统检测到两个不同的MAC 地址对应了一个IP 地址, 误以为网络中该IP 地址已经被其他主机使用, 造成IP地址冲突从而发生网络中断。 (2) 利用ARP 协议的缓存更新不需要验证的特点, 就可以冒用一个合法IP, 对同网络的数据进行嗅探。 (3) 向路由器恶意灌入大量虚假ARP 表项, 造成拒绝服务攻击, 导致通信失败、耗尽系统资源, 使系统性能显著下降。

3ARP协议漏洞的防范措施

ARP攻击是利用网络协议固有的缺陷, 因此防御比较困难。应对繁多的ARP欺骗, 必须掌握ARP协议工作原理及必要的防范措施, 保证网络的高效与安全。针对ARP协议漏洞, 其攻击方法最根本的途径就是利用主机对ARP协议信任机制的缺陷, 对目标物理地址进行篡改和控制。因此在防范ARP欺骗攻击上, 必须保证主机的ARP缓冲中的IP 地址与MAC地址映射关系的正确, 尽可能阻止非法篡改的ARP缓存就可以避免网络中的主机受到攻击。有多种方式可对ARP欺骗进行检测, 如采用相应工具软件、脚本及通过路由器或交换机的ARP 列表分析等。

可采取以下措施以提高网络的安全性: (1) ARP 协议攻击的最根本原理是改变IP 与MAC地址的对应关系。所以可以采取静态MAC地址表法的方法进行防范。根据ARP 欺骗原理, 主要是刷新主机的ARP列表, 因此重点应该放在目标主机拒绝伪造的ARP应答上。DHCP本身作用是为主机动态分配IP地址, 但是可以通过对DHCP协议加载安全功能, 使其只为主机分配静态IP地址及绑定相应的MAC地址。通过对DHCP的“静态”分配IP地址和相应的IPMAC地址绑定功能, 实现网关可以静态认定主机IP和MAC地址, 杜绝了攻击机对网关的ARP欺骗。大多数三层交换机都支持这种方法输入之后不再动态更新, 显然可以避免ARP协议攻击, 但是其缺陷也很明显, 移动或经常变化的网络环境中, 这种手工维护MAC表的方式不适用, 而且它也要求网络硬件支持这种配置方式。 (2) 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播, 在确保该服务器安全前提下, 通过该服务器查找自己的ARP转换表来响应其他机器的ARP 广播, 其缺点是必须确保这台ARP服务器不被攻击。 (3) 使用高层交换方式。目前基于IP地址变换进行路由的第三层交换机逐渐被采用, 第三层交换技术用的是IP 路由交换协议。以往的链路层的MAC地址和ARP协议已经不起作用, 因而ARP欺骗攻击在这种交换环境下不起作用。这种方法的缺点是第三层交换机价格较为昂贵。 (4) 提高安全意识, 养成良好的安全习惯, 不要把网络安全信任关系建立在IP基础上或MAC基础上, 对于ARP欺骗的网络攻击, 不仅需要用户自身做好防范工作之外, 更需要网络管理员应该时刻保持高度警惕, 并不断跟踪防范欺骗类攻击的最新技术, 做到防范于未然。

4结语

ARP协议由于缺乏必要的身份认证和鉴别机制, 导致其安全性能脆弱。近年来, 利用ARP协议的安全缺陷破坏局域网的情况愈演愈烈, ARP欺骗攻击已对局域网的安全构成了严重威胁。目前虽有多种防御ARP欺骗攻击的方法, 但是都存在一定程度的局限性。ARP协议是整个TCP/IP 网络的基础之一, 随着网络的不断发展, 它的安全性必然会得到更多的关注。

参考文献

[1][美]Tanenbaum, A.S.熊桂喜, 王小虎译.ComputerNetworks (Third Edition) [M].北京:清华大学出版社, 2001.

[2]王奇.以太网中ARP欺骗原理与解决办法[J].网络安全技术与应用, 2007, (2) :40-42.

[3]宋晓辉.ARP病毒攻击机理与防御.网络安全技术与应用, 2006, (1) :29-3.

[4]黄玉春.王自南.浅谈局域网中的嗅探原理和ARP欺骗[J].大众科技, 2006, (8) :84, 86.

arp协议书 第4篇

关键字:ARP协议;ARP攻击;MAC地址;防范策略

中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 06-0000-02

Attacks Principle& Preventive Measures of ARP Protocol Under Campus Network

Li Hui,Du Shanlin

Abstract:From the function of the ARP protocol to explain the working mechanism ARP.ARP works by analyzing the protocol,discuss the ARP protocol to the physical address from IP address resolution process in the presence of the security risk, given the same network segment and the process of inter-segment ARP cheating. Articles from the client and the network equipment side,puts forward the countermeasures,including the IP address and MAC address binding,switch port and MAC address binding,VLAN isolation techniques on the ARP spoofing attack,the security policy.

Keywords:ARP protocol;ARP attack;MAC address;Preventive measures

一、ARP工作原理

(一)ARP协议介绍

ARP在局域网中,实际传输的是“帧”,帧包括源MAC地址及目标的MAC地址。 在以太网中,一主机要和另一主机进行通信,必须要知道目标MAC地址。MAC是通过ARP地址解析协议获得的。“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

ARP协议规定每一个主机都设有一个ARP高速缓存,里面存有所在局域网上的各主机和路由器的IP地址到硬件地址的一张映射表。根据存储类型,ARP地址转换表可被分为动态和静态两种。

(二)ARP的工作流程

当主机A准备向B发送数据时,己知A明确B的IP地址IPB为192.168.1.101,MAC地址为BB-BB-BB-BB-BB-BB。通过比较IPB与子网掩码,判断A与B是否在同一网段。

1.A与B在同一个网段,A检查本机上ARP缓存区是否有B的MAC地址,如果有则直接发送信息给B,没有就以广播的形式向A所在本局域网内所有主机发送ARP请求报文,意思是本地主机大喊一声“谁的IP是192.168.1.101?请把你的MAC地址传过来!”。网络上其他主机并不响应ARP询问,只有B收到此广播帧后,向A返回ARP reply报文(含MAC地址),意思是对A说“我的IP是IPB,我的MAC地址是BB-BB-BB-BB-BB-BB,当A接收到应答后,更新本机上的ARP缓存,然后用该物理地址把数据包直接发送给B。

2.A与B不在同一网段, A若想要发送信息给B,就必须通过本地网关S1来转发,由本地网关通过路由将数据包发送到B所在网段中的网关S2,网关S2收到这个数据包发现是发送给B的,就会检查自己的ARP缓存,看是否有B的MAC地址,如果没有就使用ARP协议获得,如果有就用该MAC地址与主机B通信。

二、ARP病毒欺骗的实现

(一)ARP协议存在的安全隐患

由于ARP协议不对报文信息的真实性校验,而且没有被请求的ARP响应报文同样可以被目标主机所接受。目标主机刷新自己的缓存,把新的地址映射信息加入到ARP高速缓存中。这种缺陷使得伪造别人的IP地址或MAC地址实现ARP欺骗,进而影响系统报文通信成为一种可能。

(二)ARP病毒作用机理

ARP病毒工作时,首先在将安装有ARP机器的网卡MAC地址通过ARP欺骗广播至整个局域网,使局域网中的工作站误认为安装ARP的机器是该局域网的网关。由于局域网中的所有信息都必须通过网关来中转,当它伪装成网关时,由于物理地址错误,网络上的计算机发来的数据无法正常发送到网关,无法正常上网,造成这些计算机无法访问外网,而局域网中所有机器的数据却都可能流经它而被它窃取。

1.同一网段的ARP欺骗。

设在同一网段的三台主机:A,B,C。

假设A与B是信任关系,A欲向B发送数据包。攻击方C通过前期准备,收集信息,发现B的漏洞,使B暂时无法工作。然后C发送包含自己MAC地址的ARP应答给A。由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存,而不考虑是否发出过真实的ARP请求,所以A接收到应答后,就更新它的ARP缓存,建立新的IP/MAC地址映射对,即B的IP地址对应C的MAC地址。这样,A就将发往B的数据包发向了C。

2.跨网段的ARP欺骗。

这种方式需要把ARP欺骗与ICMP重定向攻击结合在一起。假设A和B在同一网段,C在另一网段,其IP地址和物理(MAC)地址映射关系如表

跨网段IP/MAC地址映射关系

首先攻击方C修改IP包的生存时间,将其延长,以便做充足的广播。然后寻找B的漏洞,攻击此漏洞,使主机B暂时无法工作。此后,攻击方C发送B的IP地址和C的MAC地址的ARP应答给A。A接收到应答后,更新其ARP缓存。这样,在主机A上B的IP地址就对应C的MAC地址。但是,A在发数据包给B时,仍然会在局域网内寻找192.168.1.101的MAC地址,不会把包发给路由器,这时就需要进行ICMP重定向,告A“到192.168.1.101的最短路径不是局域网,而是路由,请主机重定向路由路径,把所有到192.168.1.101的包发给路由器”。主机A在接受到这个合理的ICMP重定向后,修改自己的路由路径,把对192.168.1.101的数据包都发给路由器。这样攻击方C就能得到来自内部网段的数据包。

基于ARP协议的这一工作特性,借助于一些黑客工具如网络剪刀手等,黑客向对方计算机不断发送有欺诈性质的ARP数据包和ARP恢复数据包,数据包内包含有与当前设备重复的MAC地址,使对方在回应时,由于简单的地址重复错误而导致不能进行正常的网络通信,这样就可以在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击,让所有连接网络的计算机都无法正常上网。

三、安全防范策略

(一)用户端计算机的防御策略

1.安装杀毒软件、防火墙。安装金山毒霸、瑞星、360安全卫士、金山ARP防火墙等杀毒软件,必须要定期升级更新病毒代码,每天定时对机器进行病毒扫描,及时更新补丁程序等。安装影子系统或其它还原系统,这样在受到ARP攻击后可以通过重启实现ARP病毒的清除。

2.网上玩游戏要注意安全。许多带有ARP病毒的木马程序往往都是隐藏在网络游戏的外挂中通过网络游戏私服进行传播的。

3.在用户端计算机上绑定交换机网关的IP和MAC地址。Windows用户可通过在命令行方式执行“arp –s 网关 IP 网关MAC 地址”命令来减轻中毒计算机对本机的影响。网关IP和网关MAC地址可在网络工作正常时通过命令行方式下的“arp -a”命令来得到。可以编写一个批处理文件arp.bat,实现将交换机网关的MAC地址和网关的IP地址的绑定,并将这个批处理文件拖到“开始-程序-启动”中,以便用户每次开机后计算机自动加载并执行该批处理文件。

4.安装常见的防范ARP欺骗攻击的工具软件。针对ARP欺骗攻击出现了一些可以保护客户端的网关MAC地址不被修改的工具软件,并且报警当前是哪个MAC地址在攻击网络。

5.计算机中了ARP病毒后的处理方法。一旦你的计算中了ARP病毒,各种防病毒软件或专杀工具很难完全清除,只有重装系统,并施加相关防护措施,才可以得到比较彻底的恢复。

(二)网络设备管理端的防御策略

1.在核心交换机上绑定用户主机的IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。同时在三层交换机上实时检控用户的IP MAC对应表以及在二层交换机上限制用户端接口上最大可以上传的MAC数量。

(1)IP和MAC地址的绑定。

在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。

(2)MAC地址与交换机端口的绑定。

根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号,将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网,自然也就不会对局域网造成干扰了。

2.开启交换机上针对ARP的特定功能。在锐捷S21系列二层交换机上可以通过开启Anti-ARP-Spoofing功能,防止同一网段内针对用户的ARP欺骗攻击。其他厂家的设备也有类似功能,CISCO的可以使用ARP-Inspection,H3C的可以使用Anti-ARP-at2tack。

3.使用ARP服务器查找自己的ARP转换表来响应其他机器的ARP广播。

4.对上网用户进行上网认证和地址绑定。通过在用户侧使用静态IP同时在汇聚交换机上进行IP-MAC对的绑定,同时开启帐号+密码+IP+MAC+接入交换机IP+接入交换机PORT的六元素绑定。由于用户名、密码、用户端IP、MAC和接入交换机IP、PORT都对应起来了,杜绝了同一MAC对应多个IP和用户MAC对应网关IP的ARP欺骗,因此通过地址绑定基本可以实现网络对于ARP欺骗攻击的完全性免疫。

四、结束语

本文通过分析ARP协议的工作原理,探讨了基于ARP协议漏洞的欺骗攻击的实现过程,提出了多种可行的安全防御策略,并分析了多种防御措施各自存在的局限性,对于彻底的防范ARP欺骗攻击,一般需要多种方案配合使用,特别是对用户上网进行认证"如果要从根本上解决这一问题,最好的方法将是重新设计一种安全的地址解析协议,已经在IPV6中已经考虑到了这个问题,采用了更安全的方式杜绝了来自底层的攻击。

参考文献:

[1]谢希仁.计算机网络.北京:电子工业出版社,2003,6

[2]傅伟,谢宜辰.基于ARP协议的欺骗攻击及安全防御策略.湘潭师范学院学报,2007,12

[3]邓清华,陈松乔.ARP欺骗攻击及其防范.微机发展,2004,14,8:126-128

[4]周增国.局域网络环境下ARP欺骗攻击及安全防范策略.计算机与信息技术

[5]潘锋.局域网中ARP欺骗的防范.Computer Era,2007,5

[6]黄少敏.校园网络ARP病毒攻击和对策.广东科技,2007,4

作者简介:李辉(1989-),男,辽宁盘锦人,本科在读。

arp协议书 第5篇

我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中，这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。

一、什么是ARP协议

ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

二、ARP协议的工作原理

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如附表所示，

附表

我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么?”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

三、如何查看ARP缓存表

ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了，如附图所示。

用“arp -d”命令可以删除ARP表中某一行的内容;用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。

arp协议书 第6篇

1 51单片机与网络控制器的连接

RTL8019AS 网络接口芯片是台湾 Realtek 公司的代表性产品之一，该芯片基于 ISA 总线结构，性能稳定且价格低廉，在工业企业领域有非常广泛的应用[ 1 ]。

1.1 RTL8019AS接口芯片的主要特性

RTL8019AS芯片主要优点有：

一是支持热插拔(即插即用)的动态检测;

二是完全兼容当前主流的NE2000 模式并可在8 位与 16 位两种模式下工作;

三是有跳线与非跳线两种模式可供选择;

四是支持全双工通信模式，双工通信时信道的传输速率可达到10Mbps;

五是内置数据预取功能;

六是内置 16K 字节的闪存;

七是支持 8/16两种前端总线工作模式，内置8 个中断申请线，同时有16 个I/O地址可供选择。

1.2 51单片机与RTL8019AS连接实现网络通信的电路设计

1.2.1 RTL8019AS 与 93C46 接口电路

93C46接口电路内部存储容量为1Kbits，是四线串行接口EEPROM。RTL 8019 AS芯片在上电或者初始化复位时，首先要从该芯片中读取预设的配置信息才能完成初始化。 93C46 内部存储器的前三个地址空间用于存放 RTL8019AS芯片的上电初始化信息;后5个地址空间用于记录本机地址;0AH-11H 的地址空间分配给制造商存储产品的信息;

12H～7FH 的地址空间用于记录即插即用信息。RTL 8019 AS 的EECS引脚连接93C46的CS引脚，EESK引脚连接SK引脚，EEDI引脚连接DI，EEDO引脚连接DO引脚，即由EECS 提供片选信号，EESK 提供时钟信号，EEDI 与 EEDO 定义为串行数据I/O通道。

1.2.2 RTL8019AS 与 SST89E564RD 接口电路的.硬件连接

SST 系列单片机是美国 SST公司生产的一种中高端51系列单片机，SST89 E564RD 单片机是其SST系列单片机中的一个型号。将RTL8019AS 的SD0-SD7 引脚与SST89E564RD 的P0.0-P0.7引脚相连，相连后的引脚通过锁存器与A0-A7引脚相接，同时将74HC573的A0-A5引脚与 RTL 8019AS 的SA0-SA5引脚相接，将SST89E564RD的P0口用作D/A端口。

此外，SST89E564RD的 P2.0-P2.6 引脚与 静态存储芯片TMS62256 的高7位地址线引脚相接，组合成访问 TMS的15位地址总线。将SST 89E564 RD的SMEMRB 引脚接+5V，同时将IOCHDRY引脚悬空，JP 引脚为跳线模式，IOCS 16B引脚接地，使 RTL8019AS 工作在 8 位模式[ 2 ]。

1.3 网络接口电路的地址定义

RTL8019AS中 SA0-SA19 的连接方式如下：SA5-SA7以及SA10-SA19 接 GND，SA8-SA9 接+5V电压，SA0-SA4 接74HC573的A0-A5引脚。SST 单片机可以通过 P0.0-P0.4来选中RTL8019AS 的 32 个I/O端口并相应地对其进行R / W操作。此外，将RTL8019AS 的IORB 和 IOWB 引脚分别与SST89E564RD单片机的 RD 和 WR 相连作为R/W选通信号。

arp协议书 第7篇

实验名称

利用wireshark分析ARP协议

实验编号

6.1

姓名

学号

成绩

2.6常见网络协议分析实验

一、实验室名称：

电子政务可视化再现实验室

二、实验项目名称：

利用wireshark分析ARP协议

三、实验原理：

Wireshark:Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试获取网络包，并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。

当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据48bit的以太网地址来确定目的接口的.设备驱动程序从不检查IP数据报中的目的IP地址。地址解析为这两种不同的地址形式提供映射：32bit的IP地址和数据链路层使用的任何类型的地址。

ARP根据IP地址获取物理地址的一个TCP/IP协议。ARP为IP地址到对应的硬件地址之间提供动态映射。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。

四、实验目的：

目的是通过实验加深对数据包的认识，网络信息传输过程的理解，加深对协议的理解，并了解协议的结构与区别。

利用wireshark捕获发生在ping过程中的ARP报文，加强对ARP协议的理解，掌握ARP报文格式，掌握ARP请求报文和应答报文的区别。

五、实验内容：

利用wireshark分析ARP协议

六、实验器材（设备、元器件）

运行Windows的计算机，带有并正确安装网卡；wireshark软件；具备路由器、交换机等网络设备的网络连接。

七、实验步骤：

1、查看本机WLAN接口IP，得到192.168.1.112。

2、利用arp –a命令在本地的ARP 缓存中查看IP-MAC对应表。

3、找到与接口192.168.1.112，有过连接的IP，本实验选择192.168.1.109。

4、利用arp-d 192.168.1.109,删除相应缓存记录。

5、打开wireshark网络分析器，选择捕获数据接口，WLAN接口，开始捕获。

6、输入命令，ping 192.168.1.109。

7、此时wireshark会捕获到相应分组数据，停止捕获。

八、实验数据及结果分析

1、请求报文:

由最上方报文信息可以看到，由于之前删除了IP-MAC对应表中IP:192.168.1.109的缓存，因此进行广播，发送查找IP为192.168.1.109的主机，并要求将结果返回给IP地址为192.168.1.112的主机即本机，使用的协议是ARP协议。（1）分析第一行，帧的基本信息：

由结果分析可以得到： 帧的编号（Frame Number）:856 帧的长度（Frame Length）：42个字节 捕获到的长度(Capture Length)：42个字节

帧被捕获的日期和时间(Arrival Time)：2016年5月29日，23点15分45.851354000秒

距离前一个帧的捕获时间(Time delta from previous captured/displayed frame0.442497000秒

距离第一个帧的捕获时间差(Time since reference or first frame):181.741785000秒 帧装载的协议:eth:ethertype:arp

(2)分析第二行，数据链路层：

由结果分析得到：

目的地址（Destination）:Broadcast(ff:ff:ff:ff:ff:ff)源地址(Source):HonHaiPr_3f:8a:55(b0:10:41:3f:8a:55)协议类型：ARP（0x0806）

（3）分析第三行，ARP协议：

由结果分析得到：

硬件类型（Hardware type）：Ethernet(1)协议类型：IPv4(0x0800)硬件信息在帧中占的字节数（Hardware size）:6 协议信息在帧中占的字节数（Protocol size）:4 操作命令为：request(1)请求

发送方的MAC地址(Sender MAC address):HonHaiPr_3f:8a:55(b0:10:41:3f:8a:55)发送方的IP地址（Sender IP address）:192.168.1.112 目标的ＭＡＣ地址（Target MAC address）:00:00:00_00:00:00(00:00:00:00:00:00)目标的IP地址（Target IP address）: 192.168.1.109

2.响应报文：(1)截图：

由最上方报文信息可以看到，IP地址为192.168.1.109主机接收到该ARP请求后，就发送一个ARP的REPLY命令，其中包含自己的MAC地址。（1）分析第一行，帧的基本信息：

由结果分析可以得到： 帧的编号（Frame Number）:857 帧的长度（Frame Length）：42个字节 捕获到的长度(Capture Length)：42个字节

帧被捕获的日期和时间(Arrival Time)：2016年5月29日，23点15分41.911804000秒 距离前一个帧的捕获时间(Time delta from previous captured/displayed frame)0.060450000秒

距离第一个帧的捕获时间差(Time since reference or first frame):181.802235000秒 帧装载的协议:eth:ethertype:arp

(2)分析第二行，数据链路层：

由结果分析得到：

目的地址（Destination）: HonHaiPr_3f:8a:55(b0:10:41:3f:8a:55)源地址(Source):HonHaiPr_ e1:3e:71(d0:7e:35:e1:3e:71)协议类型：ARP（0x0806）（3）分析第三行，ARP协议：

由结果分析得到：

硬件类型（Hardware type）：Ethernet(1)协议类型：IPv4(0x0800)硬件信息在帧中占的字节数（Hardware size）:6 协议信息在帧中占的字节数（Protocol size）:4 操作命令为：reply(2)回应

发送方的MAC地址(Sender MAC address): HonHaiPr_e1:3e:71(d0:7e:35:e1:3e:71)发送方的IP地址（Sender IP address）:192.168.1.109 目标的ＭＡＣ地址（Target MAC address）: HonHaiPr_3f:8a:55(b0:10:41:3f:8a:55)目标的IP地址（Target IP address）: 192.168.1.112

九、实验结论

网络层使用IP地址，但在实际网络的链路上传送数据帧时，最终使用的是该网络的硬件地址。IP地址和下面的网络的硬件地址之间格式不同，在ARP的高速缓存中，存在其映射表。当一台主机在本局域网上向另一个主机发送IP数据包时，先在ARP高速缓存中查看是否其IP地址，再进行确定目的接口。发送时只知道目标IP地址，不知道其MAC地址，在数据链路层也不检查IP数据报中的目的IP地址。因此会使用ARP协议，根据网络层IP数据包包头中的IP地址信息解析出目标硬件地址（MAC地址）信息，以保证通信的顺利进行。

十、总结及心得体会

本实验利用wireshark抓取网络通信数据，分别给出了数据链路层和网络层数据传输的方式。直观的体现了当数据链路层不能解析IP地址时，ARP协议的作用。

在本次实验中，我掌握了wireshark的基本操作，加深了对数据包的认识，更进一步的理解了网络信息传输过程，对协议的理解也更为深刻，包括协议的结构与区别。与ARP有关的cmd命令，了解了IP/MAC信息的作用，更加直观的体会了主机间通信的过程。利用wireshark捕获发生在ping过程中的ARP报文，我加强了对ARP协议的理解，掌握了ARP报文格式以及ARP请求报文和应答报文的区别。

十一、对本实验过程及方式、手段的改进建议

1.首先要启动wireshark,并进行数据捕获，然后再去执行ping命令，避免捕获数据不及时。

2.在捕获到ping命令之后的数据后，及时停止捕获，避免捕获数据过多而不便于后续分析。

arp协议书 第8篇

人民银行的各级领导一直非常重视移动存储介质的使用和管理。除了以行政手段加强宣传教育、增强保密意识、完善管理制度、加大监管力度外, 还采取了强有力的技术手段来防止移动存储介质的泄密。

针对当前移动存储设备管理困难的情况, 中国人民银行长沙中心支行决定使用桌面安全管理系统, 并在中国人民银行益阳市中心支行进行试点。该系统遵循网络防护和客户端防护并重的理念, 能够对客户端进行安全控管, 其主要功能包括:一是未安装客户端的内联网主机被阻止连入内网, 已安装的客户端无法自行卸载;二是控制台可以对安装了客户端的主机按照部门的不同需求下发不同类型的安全策略;三是未经授权的外部U盘在内联网无法使用, 经过授权注册的内网U盘在外网无法使用, 经过不同权限授权的U盘, 可以在不同部门、不同级别的机器上实现读/写控制。

桌面安全管理系统实现对网络和U盘的控制策略时, 必须确保内网计算机安装了桌面安全管理系统的客户端。其实现网络接入控制的核心思想类似于ARP欺骗。下面简要介绍ARP原理、ARP欺骗以及桌面安全管理系统的应用实例。

一、ARP原理

ARP协议负责将IP地址解析成对应的MAC地址。ARP协议的基本功能是通过目标主机的IP地址查询其物理MAC地址, 以保证通信的顺利进行。ARP缓存表是主机维护的一个IP地址到相应MAC地址的映射表, 网络上每台主机都有一个ARP缓存表, 表中存放了最近的IP地址到MAC地址之间的映射记录。现假设一台路由器A连接了3台计算机B、C、D, 其IP地址与MAC地址见表1所列。

以计算机B向路由器A发送请求为例, 当B向A发出请求时, 会在自己的缓存表中与路由器的IP匹配, 如匹配成功, 就直接把路由器的MAC地址写入数据帧里面;如匹配失败, B就会在网络上发送一个广播, 向同一网段内的所有设备询问网关的MAC。其他主机并不响应询问, 只有路由器接收到这个帧时, 才向主机B作出MAC是“00-E0-FC-23-93-87”的答复。这样, 主机B就可以知道路由器的MAC地址, 从而向路由器发送请求。同时, 主机B还更新了自己的ARP缓存表, 下次再向路由器发送信息时, 可以直接从ARP缓存表里查找MAC地址。在主机B上运行“arp-a”命令查询ARP缓存表时将会出现如下信息:

二、ARP欺骗

ARP协议的设计初衷是方便数据的传输, 设计前提是网络绝对安全。它的可靠性建立在局域网内所有结点均为受信结点的基础上。因为ARP协议是无状态协议, 不会检查自己是否发过请求包, 同时也没有相应的安全机制检验接收到的数据包是否为合法应答, 只要收到的目标MAC是自己的ARP返回包或ARP广播包, 都会接受并更新本地缓存表。这样欺骗者就可以发布虚假的ARP报文对主机进行欺骗, 从而影响网内结点间的通信。

仍以表1所列设备为例, 假设主机D伪装成主机C对主机B进行ARP欺骗, D向B发送伪造的ARP包, 包中IP地址为主机C的IP地址, 而MAC地址为自身的MAC地址。该包会刷新B的ARP缓存表, 让B认为D就是C, B想要发送给C的数据实际上却发送给了D, 这就是一个简单的ARP欺骗。此时在B机上运行“arp-a”命令查询ARP缓存表会出现如下信息:

如果局域网中某台机器将它的MAC地址映射到网关的IP地址, 反复向其他机器发送假冒的ARP应答信息包, 会使同一网段内的其他机器将其作为网关, 从而出现计算机无法上网的问题。

三、实例分析

桌面安全管理系统正是基于ARP协议, 模仿ARP欺骗, 修改同一网段中所有没安装客户端主机的ARP表中的网关MAC地址, 阻止未安装客户端的主机接入内网, 从而确保所有需要访问内网的计算机都必须安装该客户端, 进而实现由控制台下发各种控制策略到客户端计算机。

由于桌面安全管理系统尚处于试推广阶段, 部分系统功能还不够稳定和有待完善。该系统最大的特色有两点, 一是对计算机接入网络的控制, 另一点就是对USB设备的分级加密控制。该系统实现各项功能基于客户端执行控制台下发的各种控制策略, 而为了保证所有内网计算机都必须安装客户端, 这个软件采用了ARP欺骗的原理, 只要网段中任意一台电脑安装了客户端以后, 就会阻止所有未安装客户端的电脑联入网络。

未安装客户端的主机接入内网后, 使用“arp-a”命令查看可以发现网关的MAC地址后六位被修改成“33-22-11”这一不可达的MAC地址。假设前例中主机D没有安装客户端就接入内网, 用“arp-a”命令查看它的ARP表, 将显示信息为:

实施桌面安全管理系统后, 如果有新的主机加入内网, 就必须安装客户端。在安装客户端的过程中主机需要向服务器提交相关注册信息, 同时还要从服务器下载安全策略, 但这时因ARP欺骗无法从网络传递、交换信息。这时可以先使用“arp-d”命令清空ARP表, 然后使用“arp-s”命令, 静态绑定路由器的IP地址和MAC地址, 完成客户端系统的安装。在对系统推广部署时, 为了避免每次手工静态绑定MAC地址, 可以预先编写好一个批处理文件, 内容如下:

最后将文件保存为Newarp.bat, 每次在安装客户端之前, 先运行这个批处理文件。

四、总结