ARP(Address Resolution Protocol,地址解析協議)是一個位於TCP/IP協議棧中的低層協議,負責將某個IP地址解析成對應的MAC地址。
-
主機發送信息時將包含目標IP地址的ARP請求廣播到網絡上的所有主機,並接收返回消息,以此確定目標的物理地址;收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間,下次請求時直接查詢ARP緩存以節約資源。地址解析協議是建立在網絡中各個主機互相信任的基礎上的,網絡上的主機可以自主發送ARP應答消息,其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存;由此攻擊者就可以向某一主機發送僞ARP應答報文,使其發送的信息無法到達預期的主機或到達錯誤的主機,這就構成了一個ARP欺騙。
-
ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關係、添加或刪除靜態對應關係等。相關協議有RARP、代理ARP。NDP用於在IPv6中代替地址解析協議。
ARP請求包先判斷目的IP地址是否和源IP地址處於同個網段,若不是則將向arp請求包發往網關。
ARP包中初始不知道目的mac地址時候發送的廣播包的目的mac地址爲ff-ff-ff-ff
什麼是ARP欺騙?
從影響網絡連接通暢的方式來看,ARP欺騙分爲二種,一種是對路由器ARP表的欺騙;另一種是對內網PC的網關欺騙。
第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址,並按照一定的頻率不斷進行,使真實的地址信息無法通過更新保存在路由器中,結果路由器的所有數據只能發送給錯誤的MAC地址,造成正常PC無法收到信息。第二種ARP欺騙的原理是——僞造網關。它的原理是建立假網關,讓被它欺騙的PC向假網關發數據,而不是通過正常的路由器途徑上網。在PC看來,就是上不了網了,“網絡掉線了”。
近期,一種新型的“ ARP 欺騙”木馬病毒正在校園網中擴散,嚴重影響了校園網的正常運行。感染此木馬的計算機試圖通過“ ARP 欺騙”手段截獲所在網絡內其它計算機的通信信息,並因此造成網內其它計算機的通信故障。ARP欺騙木馬的中毒現象表現爲:使用校園網時會突然掉線,過一段時間後又會恢復正常。比如客戶端狀態頻頻變紅,用戶頻繁斷網,IE瀏覽器頻繁出錯,以及一些常用軟件出現故障等。如果校園網是通過身份認證上網的,會突然出現可認證,但不能上網的現象(無法ping通網關),重啓機器或在MS-DOS窗口下運行命令arp -d後,又可恢復上網。ARP欺騙木馬十分猖狂,危害也特別大,各大學校園網、小區網、公司網和網吧等局域網都出現了不同程度的災情,帶來了網絡大面積癱瘓的嚴重後果。ARP欺騙木馬只需成功感染一臺電腦,就可能導致整個局域網都無法上網,嚴重的甚至可能帶來整個網絡的癱瘓。該木馬發作時除了會導致同一局域網內的其他用戶上網出現時斷時續的現象外,還會竊取用戶密碼。如盜取QQ密碼、盜取各種網絡遊戲密碼和賬號去做金錢交易,盜竊網上銀行賬號來做非法交易活動等,這是木馬的慣用伎倆,給用戶造成了很大的不便和巨大的經濟損失。