【正文】 進(jìn)行第 3 次請(qǐng)求（在第 21 章我們將看到 TCP 的超時(shí)和重發(fā)算法的細(xì)節(jié)）。 對(duì)不存在主機(jī)的 ARP 請(qǐng)求 如果查詢的主機(jī)已關(guān)機(jī)或不存在會(huì)發(fā)生什么情況呢？為此我們指定一個(gè)并不存在的Inter 地址 —根據(jù)網(wǎng)絡(luò)號(hào)和子網(wǎng)號(hào)所對(duì)應(yīng)的網(wǎng)絡(luò)確實(shí)存在，但是并不存在所指定的主機(jī)號(hào)。 最后需要指出的一點(diǎn)，在 TCP dump 命令輸出中，我們沒(méi)有看到 svr4 在發(fā)出第一段 TCP 報(bào)文（第 4 行）之前發(fā)出的 ARP 請(qǐng)求。除第 1行外，其他每行在括號(hào)中還包含了與上一行的時(shí)間差異（以秒為單位）。 TCP dump 打印出 arp reply 的字樣，同時(shí)打印出響應(yīng)者的主機(jī)名和硬件地址。 第 1 行中的下一個(gè)輸出字段 arp whohas 表示作為 ARP 請(qǐng)求的這個(gè)數(shù)據(jù)幀中，目的 IP 地址是 svr4 的地址，發(fā)送端的 IP 地址是 bsdi 的地址。我們?cè)趫D 17 中把最小長(zhǎng)度定為 46 字節(jié)，是有意不包括 14 字節(jié)的幀首部，因?yàn)閷?duì)應(yīng)的最大長(zhǎng)度（ 1500 字節(jié)）指的是 MTU—最大傳輸單元（見(jiàn)圖 25）。 在每行中，單詞 ARP 或 IP 后面的值 60 指的是以太網(wǎng)數(shù)據(jù)幀的長(zhǎng)度。 在第 1 行中，源端主機(jī)（ bsdi）的硬件地址是 0:0:c0:6f:2d:40。^]39。 ARP 舉例 在本小節(jié)中，我們用 TCPdump命令來(lái)看一看運(yùn)行像 Tel這樣的普通 TCP工具軟件時(shí) ARP會(huì)做些什么。 接下來(lái)的四個(gè)字段是發(fā)送端的硬件地址（在本例中是以太網(wǎng)地址）、發(fā)送端的協(xié)議地址（ IP地址）、目的端的硬件地址和目的端的協(xié)議地址。 接下來(lái)的兩個(gè) 1 字節(jié)的字段，硬件地址長(zhǎng)度和協(xié)議地址長(zhǎng)度分別指出硬件地址和協(xié)議地址的長(zhǎng)度，以字節(jié)為單位。它的值為 1 即表示以太網(wǎng)地址。對(duì)于 ARP 請(qǐng)求或應(yīng)答來(lái)說(shuō)，該字段的值為 0x0806。 (點(diǎn)擊查看原圖 ) 以太網(wǎng)報(bào)頭中的前兩個(gè)字段是以太網(wǎng)的源地址和目的地址。 bsdi % arp a sun () at 8:0:20:3:f6:42 svr4 () at 0:0:c0:c2:9b:26 48 bit 的以太網(wǎng)地址用 6 個(gè)十六進(jìn)制的數(shù)來(lái)表示，中間以冒號(hào)隔開(kāi)。這個(gè)高速緩存存放了最近Inter 地址到硬件地址之間的映射記錄。 點(diǎn)對(duì)點(diǎn)鏈路不使用 ARP。但是， TCP/IP 有自己的地址： 32 bit 的 IP 地址。 8) 收到 ARP 應(yīng)答后，使 ARP 進(jìn)行請(qǐng)求 —應(yīng)答交換的 IP 數(shù)據(jù)報(bào)現(xiàn)在就可以傳送了。這個(gè)過(guò)程稱作廣播，如圖 4 2 中的虛線所示。從邏輯 Inter 地址到對(duì)應(yīng)的物理硬件地址需要進(jìn)行翻譯。 4) 如果目的主機(jī)在本地網(wǎng)絡(luò)上（如以太網(wǎng)、令牌環(huán)網(wǎng)或點(diǎn)對(duì)點(diǎn)鏈接的另一端），那么 IP數(shù)據(jù)報(bào)可以直接 送到目的主機(jī)上。這個(gè)函數(shù)在 DNS（域名系統(tǒng)）中稱作解析器，我們將在第 14 章對(duì)它進(jìn)行介紹。我們?cè)诘?5 章對(duì)它進(jìn)行討論。 本章及下一章我們要討論的兩種協(xié)議如圖 41 所示： ARP（地址解析協(xié)議）和 RARP（逆地址解析協(xié)議）。 當(dāng)一臺(tái)主機(jī)把以太網(wǎng)數(shù)據(jù)幀發(fā)送到位于同一局域網(wǎng)上的另一臺(tái)主機(jī)時(shí)，是根據(jù) 48 bit 的以太網(wǎng)地址來(lái)確定目的接口的。 ARP 的高速緩存、分組格式和代理 本章我們要討論的問(wèn)題是只對(duì) TCP/IP 協(xié)議簇有意義的 IP 地址。還記得我們?cè)?ISA Server 上做的 IP 地址（ ）和 MAC 地址綁定嗎？ ISA Server 直接使用自己 ARP 緩存中的靜態(tài)綁定項(xiàng)來(lái)發(fā)送數(shù)據(jù)，而不是使用收到的 Ping 請(qǐng)求數(shù)據(jù)包 中的源 MAC 地址來(lái)作為目的地址。你可以看到在 ARP 緩存列表中 IP地址 的類型為 static，這表明它是靜態(tài)項(xiàng)。 如果 ArpCacheLife 的值比 ArpCacheMinReferencedLife 的值大，那么 ARP 緩存的超時(shí)時(shí)間設(shè)置為 ArpCacheLife 的值；如果 ArpCacheLife 的值不存在或者比 ArpCacheMinReferencedLife的值小，那么對(duì)于未使用的 ARP 緩存，超時(shí)時(shí)間設(shè)置為 120 秒；對(duì)于正在使用的 ARP 緩存，超時(shí)時(shí)間則設(shè)置為 ArpCacheMinReferencedLife 的值。如果要?jiǎng)?chuàng)建永久的靜態(tài) MAC 地址綁定項(xiàng)，你可以寫(xiě)一個(gè)腳本文件來(lái)執(zhí)行 ARP 靜態(tài)綁定，然后使用計(jì)劃任務(wù)在啟動(dòng)計(jì)算機(jī)時(shí)執(zhí)行該腳本即可。 每臺(tái)主機(jī)都具有一個(gè)用于緩存 MAC地址的 ARP 緩 存列表，你可以使用命令 ARP a 或 ARP g來(lái)查看當(dāng)前的 ARP 緩存列表。其實(shí)綁定 IP 地址和 MAC 地址的本意是為了減少 ARP 廣播流量，只是可以利用這一功能來(lái)控制 IP 地址的使用。 ISA Server 中沒(méi)有提供對(duì)于 MAC 地址的控制功能， Why？這是因?yàn)?MAC 地址只能在本地網(wǎng)絡(luò)中使用，當(dāng)數(shù)據(jù)包跨越路由器時(shí)，數(shù)據(jù)包中主機(jī)的源 MAC 地址就會(huì)被路由器的出站接口的 MAC 地址所代替，這個(gè)時(shí)候，使用 MAC 地址來(lái)進(jìn)行控制就不適用了。 使 用 ARP 命令來(lái)綁定 IP 和 MAC 地址 前言：我本來(lái)沒(méi)有想過(guò)寫(xiě)關(guān)于 ARP 綁定的文章，坦白的說(shuō)一句，在你理解 ARP 工作的原理時(shí)，這其實(shí)比較簡(jiǎn)單。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將發(fā)送端的 MAC 地址和 IP 地址添加到自己的 ARP 列表中，如果 ARP 表中已經(jīng)存在該 IP 的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一個(gè) ARP 響應(yīng)數(shù)據(jù)包，告訴對(duì)方自己是它需要查找的 MAC 地址； 4. 源主機(jī)收到這個(gè) ARP 響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的 IP 地址和 MAC 地址添加到自己的 ARP 列表中， 并利用此信息開(kāi)始數(shù)據(jù)的傳輸。 2. ARP 和 RARP 的工作原理 ARP 的工作原理如下： 1. 首先，每臺(tái)主機(jī)都會(huì)在自己的 ARP 緩沖區(qū) (ARP Cache)中建立一個(gè) ARP 列表，以表示 IP地址和 MAC 地址的對(duì)應(yīng)關(guān)系。但這個(gè)目標(biāo) MAC 地址是如何獲得的呢？它就是通過(guò)地址解析協(xié)議獲得的。 ARP 協(xié)議解碼詳解 一、 ARP 協(xié)議簡(jiǎn)介 ARP，全稱 Address Resolution Protocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時(shí)對(duì)上層提供服務(wù)。整個(gè)轉(zhuǎn)換過(guò)程是一臺(tái)主機(jī)先向目標(biāo)主機(jī)發(fā)送包含 IP 地址信息的廣播數(shù)據(jù)包，即 ARP 請(qǐng)求，然后目標(biāo)主機(jī)向該主機(jī)發(fā)送一個(gè)含有 IP 地址和 MAC 地址數(shù)據(jù)包，通過(guò) MAC 地址兩個(gè)主機(jī)就可以實(shí)現(xiàn)數(shù)據(jù)傳輸了。設(shè)置一個(gè) ARP 的嗅探器，其中維護(hù)著一個(gè)本地網(wǎng)絡(luò)的 IPMAC 地址的靜態(tài)對(duì)應(yīng)表，查看所有經(jīng)過(guò)的 ARP 數(shù)據(jù)，并檢查其中的IPMAC 對(duì)應(yīng)關(guān)系，如果捕獲的 IPMAC 對(duì)應(yīng)關(guān)系和維護(hù)的靜態(tài)對(duì)應(yīng)關(guān)系對(duì)應(yīng)不上，那么就表明是一個(gè)欺騙的 ARP 數(shù)據(jù)包了。至于 ARP 欺騙的防范，還是盡可能使用靜態(tài)的 ARP?，F(xiàn)在，混合模式讓所有經(jīng)過(guò)的數(shù)據(jù)包都傳遞給系統(tǒng)核心，然后被 sniffer 等程序利用。這 種情況下，目標(biāo)能夠發(fā)送數(shù)據(jù)到網(wǎng)關(guān)，卻不能接收到網(wǎng)關(guān)的任何數(shù)據(jù)。當(dāng)然，如果有些了解的人查看 ARPa，就知道問(wèn)題所在了。有兩種辦法達(dá)到這樣的目的。 因此用 ARP 欺騙可以來(lái)偽造這個(gè) ARPreply，從而使目標(biāo)一直遭受 IP 地址沖突警告的困擾。 二、 IP 地址沖突 我們知道，如果網(wǎng)絡(luò)中存在相同 IP 地址的主機(jī)的時(shí)候，就會(huì)報(bào)告出 IP 地址沖突的警告。因此，在上面的假設(shè)網(wǎng)絡(luò)中， B 向 A 發(fā)送一個(gè)自己偽造的 ARP 應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方 IP 地址是 （ C 的 IP 地址）， MAC 地址是 DDDDDDDDDDDD（ C 的MAC 地址本來(lái)應(yīng)該是 CCCCCCCCCCCC，這里被偽造了）。同時(shí)需要注意的是， ARP 協(xié)議只使用于本網(wǎng)絡(luò)。該過(guò)程需要經(jīng)過(guò)下面的步驟： 應(yīng)用程序構(gòu)造數(shù)據(jù)包，該示例是產(chǎn)生 ICMP 包，被提交給內(nèi)核（網(wǎng)絡(luò)驅(qū)動(dòng)程序）； 內(nèi)核檢查是否能夠轉(zhuǎn)化該 IP 地址為 MAC 地址，也就是在本地的 ARP 緩存中查看IPMAC 對(duì)應(yīng)表； 如果存在該 IPMAC 對(duì)應(yīng)關(guān)系，那么跳到步驟 9；如果不存在該 IPMAC 對(duì)應(yīng)關(guān)系，那么接續(xù)下面的步驟； 內(nèi)核進(jìn)行 ARP 廣播，目的地的 MAC 地址是 FFFFFFFFFFFF， ARP 命令類型為REQUEST（ 1），其中包含有自己的 MAC 地址； 當(dāng) 主機(jī)接收到該 ARP 請(qǐng)求后，就發(fā)送一個(gè) ARP 的 REPLY（ 2）命令，其中包含自己的 MAC 地址； 本地獲得 主機(jī)的 IPMAC 地址對(duì)應(yīng)關(guān)系，并保存到 ARP 緩存中； 內(nèi)核將把 IP 轉(zhuǎn)化為 MAC 地址，然后封裝在以太網(wǎng)頭結(jié)構(gòu)中，再把數(shù)據(jù)發(fā)送出去； 使用 arpa 命令就可以查看本地的 ARP 緩存內(nèi)容，所以，執(zhí)行一個(gè)本地的 PING 命令后，ARP 緩存就會(huì)存在一個(gè)目 的 IP 的記錄了。 為了解釋 ARP 協(xié)議的作用，就必須理解數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸過(guò)程。/*發(fā)送者的硬件地址 */ unsignedlongarp_spa。/*協(xié)議類型 */ unsignedchararp_hln。內(nèi)核（如驅(qū)動(dòng)）必須知道目的端的硬件地址才能發(fā)送數(shù)據(jù)。 ARP 協(xié)議是屬于鏈路層的協(xié)議，在 以太網(wǎng)中的數(shù)據(jù)幀從一個(gè)主機(jī)到達(dá)網(wǎng)內(nèi)的另一臺(tái)主機(jī)是根據(jù) 48 位的以太網(wǎng)地址（硬件地址）來(lái)確定接口的，而不是根據(jù) 32 位的 IP 地址。/*硬件類型 */ unsignedshortarp_pro。/*ARP 操作類型 */ unsignedchararp_sha[6]。/*目標(biāo)的協(xié)議地址 */ }ARPHDR,*PARPHDR。該命令會(huì)通過(guò) ICMP 協(xié)議發(fā)送 ICMP 數(shù)據(jù)包。要知道， ARP 協(xié)議的所有操作都是內(nèi)核自動(dòng)完成的，同其他的應(yīng)用程序沒(méi)有任何關(guān)系。當(dāng)計(jì)算機(jī)接收到 ARP 應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對(duì)本地的 ARP 緩存進(jìn)行更新，將應(yīng)答中的 IP 和 MAC 地址存儲(chǔ)在 ARP 緩存中。有關(guān)交換網(wǎng)絡(luò)的嗅探不是本文的討論內(nèi)容。如果網(wǎng)絡(luò)中存在相同 IP 地址的主機(jī) B，那么 B 就會(huì)通過(guò) ARP 來(lái) reply 該地址，當(dāng) A 接收到這個(gè) reply 后，A 就會(huì)跳出 IP 地址沖突的警告，當(dāng)然 B 也會(huì)有警告。 這里也主要是通過(guò) ARP 欺騙進(jìn)行的。如果該欺騙一直持續(xù)下去，那么目標(biāo)的網(wǎng)關(guān)緩存一直是一個(gè)被偽造的錯(cuò)誤記錄。這樣，網(wǎng)關(guān)上的目標(biāo) ARP 記錄就是一個(gè)錯(cuò)誤的，網(wǎng)關(guān)發(fā)送給目標(biāo)的數(shù)據(jù)報(bào)都是使用了錯(cuò)誤的 MAC 地址。本來(lái)在普通模式下，只有本地地址的數(shù)據(jù)包或者廣播（多播等）才會(huì)被網(wǎng)卡提交給系統(tǒng)核心，否則的話，這些數(shù)據(jù)包就直接被網(wǎng)卡拋棄。 可以查看，很多基于 ARP 的攻擊都是通過(guò) ARP 欺騙實(shí)現(xiàn)的。 當(dāng)然，可以有一些方法來(lái)實(shí)現(xiàn) ARP 欺騙的檢測(cè)。 網(wǎng)管辭典：網(wǎng)絡(luò)協(xié)議術(shù)語(yǔ) ARP 英文原義 ： Address Resolution Protocol 中文釋義：（ RFC826）地址解析協(xié)議 注解：簡(jiǎn)單地說(shuō)， ARP 協(xié)議主要負(fù)責(zé)將局域網(wǎng)中的 32 為 IP 地址轉(zhuǎn)換為對(duì)應(yīng)的 48 位物理地址，即網(wǎng)卡的 MAC 地址，比如 IP 地址為 網(wǎng)卡 MAC 地址為 00030FFD1D2B。 arp 命令的其他用法可以鍵入 ―arp /?‖查看到。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的 MAC 地址。 （圖 1 ARP/RARP 報(bào)頭結(jié)構(gòu)） 硬件類型字段：指明了發(fā)送方想知道的硬件接口類型，以太網(wǎng)的值為 1； 協(xié)議類型字段：指明了發(fā)送方提供的高層協(xié)議類型， IP 為 0800（ 16 進(jìn)制）； 硬件地址長(zhǎng)度和協(xié)議長(zhǎng)度：指明了硬件地址和 高層協(xié)議地址的長(zhǎng)度，這樣 ARP 報(bào)文就可以在任意硬件和任意協(xié)議的網(wǎng)絡(luò)中使用； 操作字段：用來(lái)表示這個(gè)報(bào)文的類型， ARP 請(qǐng)求為 1， ARP 響應(yīng)為 2， RARP 請(qǐng)求為 3， RARP響應(yīng)為 4； 發(fā)送方的硬件地址（ 03 字節(jié)）：源主機(jī)硬件地址的前 3 個(gè)字節(jié)； 發(fā)送方的硬件地址（ 45 字節(jié)）：源主機(jī)硬件地址的后 3 個(gè)字節(jié)； 發(fā)送方 IP（ 01 字節(jié)）：源主機(jī)硬件地址的前 2 個(gè)字節(jié)； 發(fā)送方 IP（ 23 字節(jié)）：源主機(jī)硬件地址的后 2 個(gè)字節(jié)； 目的硬件地址（ 01 字節(jié)）：目的主機(jī)硬件地址的前 2 個(gè)字節(jié)； 目的硬件地址（ 25 字節(jié)）：目的主機(jī) 硬件地址的后 4 個(gè)字節(jié)； 目的 IP（ 03 字節(jié)）：目的主機(jī)的 IP 地址。 3. 網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè) ARP 請(qǐng)求后，會(huì)檢查數(shù)據(jù)包中的目的 IP 是否和自己的 IP 地址一致。 二、解碼詳解 了解了 ARP 和 RARP 協(xié)議的報(bào)頭結(jié)構(gòu)和工作原理后，我們使用科來(lái)網(wǎng)絡(luò)分析系統(tǒng)抓取 ARP包，其詳細(xì)解碼，如圖 2， （圖 2 科來(lái)網(wǎng)絡(luò)分析系統(tǒng)中 ARP 請(qǐng)求包詳細(xì)解碼） 圖 2 顯示是一個(gè) ARP 的請(qǐng)求包的解碼，下面我們來(lái)詳細(xì)說(shuō)明： 硬件類型： 1，表示硬件借口類型為以太網(wǎng)類型 協(xié)議類型： 0x0800，表示發(fā)送方提供的高層協(xié)議類型是 IP 硬件地址長(zhǎng)度：表示硬件地址長(zhǎng)度為 6 字