ARP协议初级读物

ARP协议初级读物

当我们浏览互联网的时候，在地址栏中输入的并非是互联网协议中所识别的传输地址，而是经过ARP协议解析过的地址。那么说到这里，什么才是真正地址，什么是ARP协议呢？下面我们就来详细地讲一讲这方面的内容。

一､什么是ARP协议

ARP协议是“Address Resolution Protocol"(地址解析协议)的缩写｡在局域网中,网络中实际传输的是“帧",帧里面是有目标主机的MAC地址的｡在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址｡但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的｡所谓“地址解析"就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程｡ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行｡

二､ARP协议的工作原理

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,例如：

我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例｡

当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标 IP地址｡如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A 就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF",这表示向同一网段内的所有主机发出这样的询问: “192.168.1.1的MAC地址是什么?"网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应: “192.168.1.1的MAC地址是00-aa-00-62-c6-09"｡

这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了｡同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了｡ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度｡

三､如何查看ARP协议缓存表

ARP缓存表是可以查看的,也可以添加和修改｡在命令提示符下,输入“arp -a"就可以查看ARP缓存表中的内容了｡

用“arp -d"命令可以删除ARP表中某一行的内容;用“arp -s"可以手动在ARP表中指定IP地址与MAC地址的对应｡

四､ARP欺骗

其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪｡ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患｡

从影响网络连接通畅的方式来看,ARP协议欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗｡

第一种ARP欺骗的原理是——截获网关数据｡它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息｡第二种ARP欺骗的原理是——伪造网关｡它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网｡在PC看来,就是上不了网了,“网络掉线了"｡

一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线｡有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事",电信也不承认宽带故障｡而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了｡为此,宽带路由器背了不少 “黑锅"｡

作为网吧路由器的厂家,对防范ARP欺骗不得已做了不少份内､份外的工作｡一､在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器 IP-MAC绑定｡二､力劝网管员在内网所有PC上设置网关的静态ARP协议信息,这叫PC机IP-MAC绑定｡一般厂家要求两个工作都要做,称其为IP-MAC双向绑定｡