了解ARP地址解析協議

我們先來簡單描述下什么是ARP， ARP是地址解析協議， ARP協議主要負責將局域網中的32位IP地址轉換為對應的48位物理地址， 即網卡的MAC地址， 比如IP地址為192.168.0.1計算機上網卡的MAC地址為00-03-0F-FD-1D-2B。 整個轉換過程是一臺主機先向目標主機發送包含IP地址信息的廣播數據包， 即ARP請求， 然后目標主機向該主機發送一個含有IP地址和MAC地址數據包， 通過協商這兩個主機就可以實現數據傳輸了。

ARP緩存表

在安裝了以太網網絡適配器（既網卡）的計算機中有一個或多個ARP緩存表， 用于保存IP地址以及經過解析的MAC地址。 在Windows中要查看或者修改ARP緩存中的信息， 可以使用ARP命令來完成， 比如在Windows XP的命令提示符窗口中鍵入“ARP -a”或“ARP -g”可以查看ARP緩存中的內容；鍵入“ARP -d IPaddress”表示刪除指定的IP地址項（IPaddress表示IP地址）。 ARP命令的其他用法可以鍵入“ARP /?”查看幫助信息。

什么是ARP欺騙

將ip地址轉換為mac地址是ARP的工作， 在網絡中發送虛假的ARP respones， 就是ARP欺騙。

在現實中， 我們都知道郵政機構的主要職責就是靠郵差來接收和收發包裹， 我們只要填寫兩個正確信息：郵政編碼和收件人地址， 就可以吧郵件送達目的地。 這中間郵政編碼起到很大的作用， 它的主要作用是把相應的地址信息用數字的形式統一編碼， 比如：10080， 就代表了北京市某個行政地區。

如果我們清楚的知道郵政系統是怎樣把包裹送達目的地， 就很容易立即ARP協議的處理過程。 ARP同樣處理需要兩個信息來完成數據傳輸， 一個是IP地址， 一個是MAC地址。 所以當ARP傳輸數據包到目的主機時， 就好像郵局送包裹到目的地， IP地址就是郵政編碼， MAC地址就是收件人地址。 ARP的任務就是把已知的IP地址轉換成MAC地址， 這中間有復雜的協商過程， 這就好像郵局內部處理不同目的地的郵件一樣。 我們都清楚郵局也有可能送錯郵件， 原因很簡單， 就是搞錯了收件人地址， 或是搞錯了郵政編碼， 而這些都是人為的；同理， ARP解析協議也會產生這樣的問題， 只不過是通過計算機搞錯， 比如， 在獲得MAC地址時， 有其他主機故意頂替目的主機的MAC地址， 就造成了數據包不能準確到達。 這就是所謂的ARP欺騙。

ARP欺騙會導致什么問題

假設， 李四在北京， 郵編是100080。 朋友張三要給李四發一封信， 當張三發現通訊錄里沒有李四的郵政編碼， 他就把信件發到了北京市郵局， 于是郵局發了個廣播給用戶， 問誰的地址郵編是10080， 結果李四發現自己的郵編是10080， 李四就會舉手， 說我是。 這樣， 信件就發到李四那兒了。 同時李四的地址信息也被張三記在自己的通信錄里面了。

問題來了， 如果在廣播的時候， 有人假冒李四， 發出應答……。 那信件就發不到李四那兒， 并且， 張三的通信表里面記錄了錯誤的郵編和地址對應的信息。

李四收不到信件， 就會給張三發信息詢問， 張三又重新發， 但是他通信錄里面的地址是錯誤的， 所以， 每次發信李四都收不到。 如果這樣反復詢問， 那必然的結果就是錯誤信件越發越多， 郵件的錯誤郵件也越收越多， 超過了正常的接收量， 由于超負荷運轉， 而最終導致郵局徹底癱瘓， 郵差也相繼失業。 可憐的李四， 他始終沒有收到過張三的郵件。

這就好比是ARP欺騙造成的后果， 錯誤信件就是錯誤數據包， 當它越來越多時， 就會導致網絡癱瘓， 從而導致主機不能上網， 影響企業的正常業務運轉。

【51CTO.COM 獨家特稿， 轉載請注明出處及作者！】

51CTO編者注：現在， 網上關于ARP攻擊原理的文章也不少， 我們要了解原理的目的是為了更好的防范， 當我們清楚的知道了ARP欺騙攻擊的原理后， 一定有人想問， 怎樣實現ARP欺騙攻擊， 這也是子明下篇要給大家介紹的是 《實現ARP欺騙攻擊的三種武器》， 敬請51CTO網友期待， 關于ARP您有什么疑問或建議， 以及好的文章， 也可通過給我發郵件或在這里留言的方式告訴我們， 我們將盡全力幫您。