首先要知道的是其實在arp數據包中,真實數據的傳遞是靠二層以太網包頭中源MAC與目標MAC地址識別的,三層的arp協議只是起到一個解析的作用。如果目標MAC爲全F,則是廣播,此種實際情況下在arp request中可見。目標MAC地址爲單臺真實MAC,則爲一個單播的arp reply包形式。真實測試與實際應用可靈活變通。(即所謂的arp request包不一定要發送廣播,如果單播也能起到“欺騙作用”)
Arp request:
此arp包爲一個標準的arp request包,簡單的可以理解爲:誰是172.16.1.7?麻煩告訴172.16.1.224。接收方將arp解析中源mac與源ip記錄與更新到自己的本地arp緩存中,並回送一個arp reply包實際中可將目的mac改成目標ip,即單播的形式,更好的避免了廣播,增加了些許隱蔽性。
在目的機器上的表現可以看出:
將其中的源mac和ip更改後可以達到arp欺騙的作用,而在arp包頭中將原ip地址和目的ip地址改成相同的,在目的主機上也可以達到ip衝突的報警。其實實際上你在網絡上將一臺pc配置了靜態的ip網絡信息後,它將會在全網發送一個arp request廣播,來驗證網絡上是否有其他主機配置了相同的ip地址。而此時你的ip地址將不能成功了配置,將會得到如下信息
而在另外一臺主機將在它的又下角提示ip衝突,如下圖
對於一些現在市面上的arp防火牆,其檢測***者的手法也就是解開arp包裏面的相關ip與mac信息,所以如果只是留正確的目標mac其餘均僞造的信息既可以達到arp欺騙,又能隱藏***者的作用,這邊筆者建議不要經常使用廣播的形式,因爲廣播大會被首先懷疑
Arp reply數據包
此爲一個標準的arp reply包
00:0C:29:06:DC:FA爲真實目標地址,數據包簡單的說明可以理解爲:172.16.1.7在11:11:11:11:11:11,依據爲arp解析協議包頭中的源mac與源ip,不難發現,目的ip與源ip地址相同,則pc會報警ip衝突。這邊要注意了,雖然arp是全自動的,主機主動發起並記錄緩存的,但是對於使用arp reply實現arp欺騙的朋友,arp緩存中不會記錄或更新新的(原本不存在的)ip地址對應的mac地址項,而只能更新現有arp中ip對應mac地址的緩存,不知道我這麼說有沒有明白。具體還請細細體會。
目標計算機詳情:
仔細查看檢測到的衝突的硬件地址所在arp包的位置
其實現在來說,對於大衆化的ipV4網絡來說arp爲一個必要協議,是IETF在19几几年制定的吧,真的是很老很老了,具體我不是很記得。原本互聯網的目的就是達到互聯互通,並沒有太多的考慮安全性方面,而現在arp協議在很大程度上已經被***所利用。可以這麼說吧,目前百分之九十以上的企業其實都中過arp病毒,只是你沒有發現而已。可能當時的你就重啓下交換機解決了,也沒有太多的在意。
IPv4轉向IPv6的原因衆所周知 .在基於TCP/IP的網絡中 ,地址解析 (以及逆向地址解析 )是一個十分重要的問題 .IPv4中一直使用了ARP和RARP兩個協議來解決 .IPv6對於這個問題使用一種新的協議 ,即鄰居發現協議 ,這些功能包括在ICMPv6中 ,其中鄰居宣告和鄰居請求合在一起代替了IPv4中的ARP協議,我們也能告別v4時代arp的煩惱了,哎,期待ipV6的逐步替代過程吧,以上爲隨便閒談,有朋友交流的我第一時間看到回覆,老鳥勿噴,虛心聽從指導。