2024年3月12日发(作者:)

一、ARP地址及工作原理

ARP协议(Address Resolution Protocol,地址解析协议)是TCP/IP底层协议。通

常用在网络故障进行诊断的时候,也是最常用的一种底层协议。它属于TCP/IP(通常划分

为 7层)的低层协议,负责将IP地址解析成对应的MAC地址。当一个使用TCP/IP协议

进行数据交换或传输的应用程序需要从一台主机发送数据给另一台主机 时,它把信息分割

并封装成包,附上目的主机的IP地址。然后,根据IP地址寻找实际MAC地址的映射,这

就需要发送ARP广播。当ARP找到了目的主机 MAC地址后,就可以形成待发送帧的完

整以太网帧头。最后,协议栈将IP包封装到以太网帧中进行传送。

用语言表述以上的内容枯燥而乏味,其实简单地理解,就是根据IP地址与MAC的映

射关系,为要发送的信息加上正确的,也是唯一的地址。为了节省ARP缓冲 区内存,被

解析过的ARP信息的保存周期都是有限的。如果一段时间内该信息没有被参考过,则信息

将被自动删除。若计算机使用的是Windows操作系 统,ARP信息的存活周期是2分钟,

而在大部分交换机中,该值一般都是5分钟。

二、ARP工作的其他几种形式

1、 反向ARP:反向ARP(Reverse ARP,RARP)用于把MAC地址转换成对应的 IP

地址。通常这种形式主要使用在系统自身无法保存IP地址的环境里,例如无盘站就是典型

的例子。

2、 代理ARP:代理ARP(PROXY ARP),一般被路由器这样的网络设备使用,用来

代替处于其他网段的主机回答本网段主机的ARP请求。

3、 无为ARP:无为(Gratuitous ARP,GARP)ARP也称为无故ARP,就是计算

机使用本机的IP地址作为目标地址发送ARP请求。无为ARP主要有两种用途,一个作用

是根据收到 ARP响应的话,说明网络中存在重复的IP地址;另外一个作用是用来声明一

个新的数据链路标识。当一个网络设备收到一个arp请求时,如果发现arp缓冲 区中已经

存在发送者的IP地址,则更新此IP地址所对应的MAC地址信息。

三、ARP欺骗的表现

ARP 欺骗一般分为两种,一种是对路由器 ARP 表的欺骗;另一种是对内网 PC 的

网关欺骗。第一种 ARP 欺骗是截获网关数据,它通知路由器一系列错误的局域网 MAC

地址,并按照一定的频率不断的更新学习进行,使真实的地址信息无法通过更新保存在路

由器中,结果路由器的所有数据只能发送到错误的 MAC 地址,造成正常的计算机无法收

到信息。第二种 ARP 欺骗是通过交换机的 MAC 地址学习机制,伪造网关。它的原理是

建立假的网关,让被它欺骗的计算机向假网关发送数据,而不是通过正常的路由器或交换

途径寻找网关,造成在同一网关的所 有计算机无法访问网络。

现在企业内部的局域网越来越普及,其中接入Internet的企业也日益增加。但是由于

很多企业缺乏专业的网管人员,而网络管理的制度更是缺乏,这就造成了局域网内电脑感

染ARP地址欺骗病毒的几率非常高。ARP地址欺骗的危害主要表现如下:

1、网络访问时断时继,掉线频繁,网络访问速度越来越慢,有时则长时间不能上网,

双击任务栏中的本地连接图标,显示为已经连接,并且发现发送的数据包明显少于接收的

数据包;

2、同一网段的所有上网机器均无法正常连接网络;