1、ARP協(xié)議概述
IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送�����。以太網(wǎng)設(shè)備并不識別32位IP地址:它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包的���。因此��,IP驅(qū)動器必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)網(wǎng)目的地址��。在這兩種地址之間存在著某種靜態(tài)的或算法的映射��,常常需要查看一張表��。地址解析協(xié)議(Address Resolution Protocol�����,ARP)就是用來確定這些映象的協(xié)議�����。
ARP工作時��,送出一個含有所希望的IP地址的以太網(wǎng)廣播數(shù)據(jù)包�。目的地主機(jī),或另一個代表該主機(jī)的系統(tǒng)���,以一個含有IP和以太網(wǎng)地址對的數(shù)據(jù)包作為應(yīng)答�����。發(fā)送者將這個地址對高速緩存起來���,以節(jié)約不必要的ARP通信。
如果有一個不被信任的節(jié)點對本地網(wǎng)絡(luò)具有寫訪問許可權(quán)��,那么也會有某種風(fēng)險����。這樣一臺機(jī)器可以發(fā)布虛假的ARP報文并將所有通信都轉(zhuǎn)向它自己,然后它就可以扮演某些機(jī)器�,或者順便對數(shù)據(jù)流進(jìn)行簡單的修改。ARP機(jī)制常常是自動起作用的�。在特別安全的網(wǎng)絡(luò)上��, ARP映射可以用固件����,并且具有自動抑制協(xié)議達(dá)到防止干擾的目的��。
圖1是一個用作IP到以太網(wǎng)地址轉(zhuǎn)換的ARP報文的例子�。在圖中每一行為32位��,也就是4個八位組表示���,在以后的圖中�����,我們也將遵循這一方式���。
硬件類型字段指明了發(fā)送方想知道的硬件接口類型,以太網(wǎng)的值為1�����。協(xié)議類型字段指明了發(fā)送方提供的高層協(xié)議類型���,IP為0806(16進(jìn)制)��。硬件地址長度和協(xié)議長度指明了硬件地址和高層協(xié)議地址的長度�����,這樣ARP報文就可以在任意硬件和任意協(xié)議的網(wǎng)絡(luò)中使用�。操作字段用來表示這個報文的目的,ARP請求為1�,ARP響應(yīng)為2,RARP請求為3�,RARP響應(yīng)為4。
當(dāng)發(fā)出ARP請求時���,發(fā)送方填好發(fā)送方首部和發(fā)送方IP地址����,還要填寫目標(biāo)IP地址��。當(dāng)目標(biāo)機(jī)器收到這個ARP廣播包時��,就會在響應(yīng)報文中填上自己的48位主機(jī)地址�。
2、ARP使用舉例
我們先看一下linux下的arp命令(如果開始arp表中的內(nèi)容為空的話,需要先對某臺主機(jī)進(jìn)行一個連接,例如ping一下目標(biāo)主機(jī)來產(chǎn)生一個arp項):
d2server:/home/kerberos# arp
Address HWtype HWaddress Flags Mask Iface
211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0
|
Address:主機(jī)的IP地址
Hwtype:主機(jī)的硬件類型
Hwaddress:主機(jī)的硬件地址
Flags Mask:記錄標(biāo)志���,"C"表示arp高速緩存中的條目�����,"M"表示靜態(tài)的arp條目����。
用"arp --a"命令可以顯示主機(jī)地址與IP地址的對應(yīng)表����,也就是機(jī)器中所保存的arp緩存信息。這個高速緩存存放了最近Internet地址到硬件地址之間的映射記錄��。高速緩存中每一項的生存時間一般為20分鐘�,起始時間從被創(chuàng)建時開始算起。
d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
|
可以看到在緩存中有一條211.161.17.254相對應(yīng)的arp緩存條目���。
d2server:/home/kerberos# telnet 211.161.17.21
Trying 211.161.17.21...
Connected to 211.161.17.21.
Escape character is '^]'.
^].
telnet>quit
connetion closed.
|
在執(zhí)行上面一條telnet命令的同時���,用tcpdump進(jìn)行****:
d2server:/home/kerberos# tcpdump -e dst host 211.161.17.21
tcpdump: listening on eth0
|
我們將會聽到很多包,我們?nèi)∨c我們arp協(xié)議相關(guān)的2個包:
1 0.0 00:D0:F8:0A:FB:83 FF:FF:FF:FF:FF:FF arp 60
who has 211.161.17.21 tell d2server
2 0.002344(0.0021)00:E0:3C:43:0D:24 00:D0:F8:0A:FB:83 arp 60
arp reply 211.161.17.21 is at 00:E0:3C:43:0D:24
|
在第1行中���,源端主機(jī)(d2server)的硬件地址是00:D0:F8:0A:FB:83����。目的端主機(jī)的硬件地址是FF:FF:FF:FF:FF:FF,這是一個以太網(wǎng)廣播地址��。電纜上的每個以太網(wǎng)接口都要接收這個數(shù)據(jù)幀并對它進(jìn)行處理�����。
第1行中緊接著的一個輸出字段是arp�����,表明幀類型字段的值是0x0806���,說明此數(shù)據(jù)幀是一個ARP請求或回答��。
在每行中�,單詞后面的值60指的是以太網(wǎng)數(shù)據(jù)幀的長度����。由于ARP請求或回答的數(shù)據(jù)幀長都是42字節(jié)(28字節(jié)的ARP數(shù)據(jù),14字節(jié)的以太網(wǎng)幀頭)�,因此,每一幀都必須加入填充字符以達(dá)到以太網(wǎng)的最小長度要求:60字節(jié)。
第1行中的下一個輸出字段arp who-has表示作為ARP請求的這個數(shù)據(jù)幀中�����,目的I P地址是211.161.17.21的地址�����,發(fā)送端的I P地址是d2server的地址�����。tcpdump打印出主機(jī)名對應(yīng)的默認(rèn)I P地址�����。
從第2行中可以看到����,盡管ARP請求是廣播的����,但是ARP應(yīng)答的目的地址卻是211.161.17.21(00:E0:3C:43:0D:24)。ARP應(yīng)答是直接送到請求端主機(jī)的����,而是廣播的����。tcpdump打印出arp reply的字樣����,同時打印出響應(yīng)者的主機(jī)ip和硬件地址。
在每一行中�,行號后面的數(shù)字表示tcpdump收到分組的時間(以秒為單位)。除第1行外�,每行在括號中還包含了與上一行的時間差異(以秒為單位)。
這個時候我們再看看機(jī)器中的arp緩存:
d2server:/home/ke
rberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A
[ether] on eth0 (211.161.17.21) at 00:E0:3C:43:0D:24 [ether] on eth0
|
arp高速緩存中已經(jīng)增加了一條有關(guān)211.161.17.21的映射����。
再看看其他的arp相關(guān)的命令:
d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00
d2server:/home/kerberos# arp
Address HWtype HWaddress Flags Mask Iface
211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0
211.161.17.21 ether 00:00:00:00:00:00 CM eth0
d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
(211.161.17.21) at 00:00:00:00:00:00 [ether] PERM on eth0
|
可以看到我們用arp -s選項設(shè)置了211.161.17.21對應(yīng)的硬件地址為00:00:00:00:00:00,而且這條映射的標(biāo)志字段為CM,也就是說我們手工設(shè)置的arp選項為靜態(tài)arp選項�,它保持不變沒有超時,不像高速緩存中的條目要在一定的時間間隔后更新�����。
如果想讓手工設(shè)置的arp選項有超時時間的話��,可以加上temp選項
d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 temp
d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
(211.161.17.21) at 00:00:00:00:00:00 [ether] on eth0
d2server:/home/kerberos# arp
Address HWtype HWaddress Flags Mask Iface
211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0
211.161.17.21 ether 00:00:00:00:00:00 C eth0
|
可以看到標(biāo)志字段的靜態(tài)arp標(biāo)志"M"已經(jīng)去掉了�����,我們手工加上的是一條動態(tài)條目。
請大家注意arp靜態(tài)條目與動態(tài)條目的區(qū)別�。
在不同的系統(tǒng)中,手工設(shè)置的arp靜態(tài)條目是有區(qū)別的����。在linux和win2000中,靜態(tài)條目不會因為偽造的arp響應(yīng)包而改變��,而動態(tài)條目會改變�����。而在win98中�,手工設(shè)置的靜態(tài)條目會因為收到偽造的arp響應(yīng)包而改變。
如果您想刪除某個arp條目(包括靜態(tài)條目)�����,可以用下面的命令:
d2server:/home/kerberos# arp -d 211.161.17.21
d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
(211.161.17.21) at on eth0
|
可以看到211.161.17.21的arp條目已經(jīng)是不完整的了��。
還有一些其他的命令��,可以參考linux下的man文檔:d2server:/home/kerberos# man arp
3���、ARP欺騙
我們先復(fù)習(xí)一下上面所講的ARP協(xié)議的原理����。在實現(xiàn)TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境下�����,一個ip包走到哪里����,要怎么走是靠路由表定義,但是�,當(dāng)ip包到達(dá)該網(wǎng)絡(luò)后,哪臺機(jī)器響應(yīng)這個ip包卻是靠該ip包中所包含的硬件mac地址來識別����。也就是說,只有機(jī)器的硬件mac地址和該ip包中的硬件mac地址相同的機(jī)器才會應(yīng)答這個ip包����,因為在網(wǎng)絡(luò)中,每一臺主機(jī)都會有發(fā)送ip包的時候����,所以����,在每臺主機(jī)的內(nèi)存中����,都有一個 arp--> 硬件mac 的轉(zhuǎn)換表。通常是動態(tài)的轉(zhuǎn)換表(該arp表可以手工添加靜態(tài)條目)����。也就是說,該對應(yīng)表會被主機(jī)在一定的時間間隔后刷新��。這個時間間隔就是ARP高速緩存的超時時間��。
通常主機(jī)在發(fā)送一個ip包之前�����,它要到該轉(zhuǎn)換表中尋找和ip包對應(yīng)的硬件mac地址��,如果沒有找到�,該主機(jī)就發(fā)送一個ARP廣播包,于是�,主機(jī)刷新自己的ARP緩存�����。然后發(fā)出該ip包。
了解這些常識后�����,現(xiàn)在就可以談在以太網(wǎng)絡(luò)中如何實現(xiàn)ARP欺騙了�,可以看看這樣一個例子。
3.1 同一網(wǎng)段的ARP欺騙
上一頁12 下一頁 閱讀全文
