【随笔】ARP和RARP

　　ARP协议是什么？

　　ARP协议是"Address Resolution Protocol"（地址解析协议）的缩写。在局域网中，网络中实际传输的是"帧"，帧里面是有目标主机的MAC地址的。在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓"地址解析"就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

　　ARP协议主要负责将局域网中的32位IP地址转换为对应的48位物理地址,即网卡的MAC地址。

　　在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，在linux中可以通过"arp -a"命令来查看本地ARP缓存表，ARP缓存表会定期刷新重建，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

　　RARP协议是什么？

　　RARP协议是ARP协议相反的流程操作，它是籍由查询网路上其它主机而得到自己的 IP协议地址。

　　当主机发出广播包后，接收到该请求的其他主机会在自己的ARP缓存表里查询是否有该主机的MAC对应记录，如果有，则给该主机返回响应包，如果没有，则忽略。

　　可以这么理解:

　　ARP ---> 主机发包询问：谁知道我想联系的IP为192.168.x.x的主机的MAC地址是多少？

　　　　　　　目标主机回应：我是IP 192.168.x.x的主机，我的MAC地址是xx:xx:xx:xx:xx:xx

　　RARP ---> 主机发包询问：谁知道我的IP是多少？噢对了！我的MAC地址是xx:xx:xx:xx:xx:xx。

　　　　　　　 目标主机回应：我在我的ARP缓存表里查到你的MAC地址对应的IP地址是192.168.y.y

---

　　ARP欺骗攻击

　　从前面知道，在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓存表。在正常情况下这个缓存表能够有效保证数据传输的一对一性。

　　但是主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。

　　这样，攻击者C会向主机A发送一个ARP响应包，里面包含了攻击者C的MAC地址和主机B的IP信息，这样主机A的ARP缓存表里就存了一个"主机B的IP:攻击者C的MAC"的值，然后攻击者C会向主机B发送一个包，包含了主机A的IP和攻击者C的MAC地址，然后主机B也会将这信息存入自己的ARP缓存表内，这样，主机A发往主机B的所有数据包都会先发送到攻击者C的机器上，然后攻击者C再将数据包发送到主机B，如此一来，攻击者C就会截取到A和B之间的通信信息。无论攻击者C接收到主机A的信息包后做不做处理，必将影响到信息包的传递，如此以来，使用局域网时会突然掉线，过一段时间后又会恢复正常。还有客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。攻击者更会通过各种手段盗取用户账号密码，进行交易等等木马病毒都会做的事。

　　如何发现ARP欺骗攻击？　　

　　局域网内一旦有ARP的攻击存在，会欺骗局域网内所有主机和网关，让所有上网的流量必须经过ARP攻击者控制的主机。其他用户原来直接通过网关上网，现在却转由通过被控主机转发上网。由于被控主机性能和程序性能的影响，这种转发并不会非常流畅，因此就会导致用户上网的速度变慢甚至频繁断线。另外 ARP欺骗需要不停地发送ARP应答包，会造成网络拥塞。

　　一旦怀疑有ARP攻击我们就可以使用抓包工具来抓包，如果发现网内存在大量ARP应答包，并且将所有的IP地址都指向同一个MAC地址，那么就说明存在ARP欺骗攻击，并且这个MAC地址就是用来进行ARP欺骗攻击的主机MAC地址，我们可以查出它对应的真实IP地址，从而采取相应的控制措施。另外，我们也可以到路由器或者网关交换机上查看IP地址与MAC地址的对应表，如果发现某一个MAC对应了大量的IP地址，那么也说明存在ARP欺骗攻击，同时通过这个MAC地址查出用来ARP欺骗攻击的主机在交换机上所对应的物理端口，从而进行控制。

　　如何防范？

　　可以通过对IP和真实MAC地址的绑定，定期广播局域网内真实IP与MAC信息，构建防火墙等等方法来防范ARP欺骗攻击。