【正文】 節(jié) =48 位 協(xié)議地址長(zhǎng)度：表示 IP 地址長(zhǎng)度為 4 字節(jié) =32 位 操作類型： 1，表示 ARP 請(qǐng)求 源物理地址： 00:14:85:CA:F5:22 源 IP 地址： 目標(biāo)物理地址： 00:00:00:00:00:00 目標(biāo) IP 地址： ARP 回應(yīng)包和 RARP 的包類似，我們?cè)谶@里就不再重復(fù)說(shuō)明。這篇文章介紹了 Windows 下ARP 協(xié)議工作的原理，以及如何使用 ARP 命令來(lái)靜態(tài)綁定 IP 地址和 MAC 地址。 ARP 命令的作用是查看本機(jī)的 ARP 緩存、靜態(tài)綁定 IP 地址和 MAC地址和刪除靜態(tài)綁定項(xiàng)。 無(wú)論是任何高層協(xié)議的通訊，最終都將轉(zhuǎn)換為數(shù)據(jù)鏈路層硬件地址的通訊。 在 Windows server 2020 和 XP 中，靜態(tài)綁定的項(xiàng)不會(huì)被動(dòng)態(tài)更新，直到 TCP/IP 協(xié)議終止為止，例如重 啟計(jì)算機(jī) ?？梢孕薷牡逆I值有兩個(gè)，都位于 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 修改的鍵值： 鍵值 1： ArpCacheLife，類型為 Dword，單位為秒，默認(rèn)值為 120 鍵值 2： ArpCacheMinReferencedLife，類型為 Dword，單位為秒，默認(rèn)值為 600 注意：這些鍵值默認(rèn)是不存在的，如果你想修改，必須自行創(chuàng)建； 修改后重啟計(jì)算機(jī)后生效 。 各計(jì)算機(jī)的 TCP/IP 設(shè)置如下，本次試驗(yàn)不涉及 DNS 解析，各服務(wù)器的 DNS 服務(wù)器設(shè)置為空，在試驗(yàn)之前已經(jīng)確認(rèn)了網(wǎng)絡(luò)連接工作正常： ISA 2020 Firewall： LAN Interface： IP： DG： None MAC： 00:03:47:F4:FC:E7 True（將離線）： IP： DG： MAC： 00:0D:60:C3:05:34 Fake（將修改 IP 地址為 ）： IP： DG： MAC： 00:06:D0:06:05:47 首先，我在 ISA Server 上使用 ARP S 來(lái)綁定 True 的 IP 地址和 MAC 地 址，運(yùn)行命令： ARP s 000D60C30534 然后執(zhí)行 ARP a 來(lái)查看 ARP 緩存列表，結(jié)果如下圖所示。 那么看看第四個(gè) ISA Server 回復(fù)的 Ping 回復(fù)數(shù)據(jù)包呢，源 MAC 地址是 ISA Server 的 MAC地址（ 00:03:47:F4:FC:E7），這也沒(méi)有問(wèn)題，但是注意看目的 MAC 地址， 00:0D:60:C3:05:34是離線的客戶機(jī) True 的 MAC 地址。你可以利用ISA Server 強(qiáng)大的身份驗(yàn)證功能，結(jié)合 IP 地址來(lái)進(jìn)行管理，這樣具有更好的效果。 例如，一組使用 TCP/IP 協(xié)議的主機(jī)和另一組使用某種 P C 網(wǎng)絡(luò)軟件的主機(jī)可以共享相同的電纜。 RFC 826 [Plummer1982]是 ARP 規(guī)范 描述文檔。 RARP 是被那些沒(méi)有磁盤驅(qū)動(dòng)器的系 統(tǒng)使用（一般是無(wú)盤工作站或 X 終端），它需要系統(tǒng)管理員進(jìn)行手工設(shè)置。 1) 應(yīng)用程序 FTP 客戶端調(diào)用函數(shù) gethostbyname(3)把主機(jī) 名（ bsdi）轉(zhuǎn)換成 32 bit 的 IP 地址。 3) TCP 發(fā)送一個(gè)連接請(qǐng)求分段到遠(yuǎn)端的主機(jī)，即用上述 IP 地址發(fā)送一份 IP 數(shù)據(jù)報(bào)（在第18 章我們將討論完成這個(gè)過(guò)程的細(xì)節(jié)）。 5) 假定是一個(gè)以太網(wǎng)，那么發(fā)送端主機(jī)必須把 32 bit的 IP地址變換成 48 bit的以太網(wǎng)地址。 6) ARP 發(fā)送一份稱作 ARP 請(qǐng)求的以太網(wǎng)數(shù)據(jù)幀給 以太網(wǎng)上的每個(gè)主機(jī)。這個(gè) ARP 應(yīng)答包含 IP 地址及對(duì)應(yīng)的硬件地址。在硬件層次上進(jìn)行的數(shù)據(jù)幀交換必須有正確的接口地址。 ARP 的功能是在 32 bit 的 IP 地址和采用不同網(wǎng)絡(luò)技術(shù)的硬件地址之間提供動(dòng)態(tài)映射。 ARP 高速緩存 ARP 高效運(yùn)行的關(guān)鍵是由于每個(gè)主機(jī)上都有一個(gè) ARP 高速緩存。參數(shù) a 的意思是顯示高速緩存中所有的內(nèi)容。緊跟著幀類型字段的前四個(gè)字段指定了最后四個(gè)字段的類型和長(zhǎng)度）。 兩個(gè)字節(jié)長(zhǎng)的以太網(wǎng)幀類型表示后面數(shù)據(jù)的類型。 硬件類型字段表示硬件地址的類型。它的值與包含 IP 數(shù)據(jù)報(bào)的以太網(wǎng)數(shù)據(jù)幀中的類型字段的值相同，這是有意設(shè)計(jì)的（參見(jiàn)圖 21）。這個(gè)字段必需的，因?yàn)?ARP 請(qǐng)求和 ARP 應(yīng)答的幀類型字段值是相同的。當(dāng)系統(tǒng)收到一份目的端為本機(jī)的 ARP 請(qǐng)求報(bào)文后，它就把硬件地址填進(jìn)去，然后用兩個(gè)目的端地址分別替換兩個(gè)發(fā)送端地址，并把操作字段置為 2，最后把它發(fā)送回去。 bsdi % arp a 檢驗(yàn) ARP 高速緩存是空的 bsdi % tel svr4 discard 連接無(wú)效的服務(wù)器 Trying ... Coned to svr4. Escape character is 39。 (點(diǎn)擊查看原圖 ) 我們刪除了 TCP dump 命令輸出的最后四行，因?yàn)樗鼈兪墙Y(jié)束連接的信息（我們將在第 1 8章進(jìn)行討論），與這里討論的內(nèi)容不相關(guān)。 第 1 行中緊接著的一個(gè)輸出字段是 ARP，表明幀類型字段的值是 0x0806，說(shuō)明此數(shù)據(jù)幀是一個(gè) ARP 請(qǐng)求或回答。有一些書(shū)把最小長(zhǎng)度定為 64 字節(jié)，它包括以太網(wǎng)的幀尾。第 3， 4 和 5 行中的 IP 數(shù)據(jù)報(bào)（包含 TCP 段）的長(zhǎng)度都比最小長(zhǎng)度短，因此都必須填充到 60 字節(jié)。 ARP 應(yīng)答是直接送到請(qǐng)求端主機(jī)的，而是廣播的。 在每一行中，行號(hào)后面的數(shù)字表示 TCP dump 收到分組的時(shí)間（以秒為單位）。在本例中，用 ARP 進(jìn)行動(dòng)態(tài)地址解析的時(shí)間小于 3ms。在邏輯上可以假設(shè)，如果請(qǐng)求端要發(fā)送 IP 數(shù)據(jù)報(bào)，那么數(shù)據(jù)報(bào)的接收端將很可能會(huì)發(fā)送一個(gè)應(yīng)答。 這一次，我們沒(méi)有用 e 選項(xiàng) ，因?yàn)橐呀?jīng)知道 ARP 請(qǐng)求是在網(wǎng)上廣播的。事實(shí)上，我們?cè)诤竺鎸⒖吹?，大多?shù)的 BSD 實(shí)現(xiàn)把完成 TCP 連接請(qǐng)求的時(shí)間限制設(shè)置為 75 秒。直到 ARP 回答返回時(shí)， TCP 報(bào)文段才可以被發(fā)送，因?yàn)橛布刂返竭@時(shí)才可能知道。）當(dāng)這些表項(xiàng)再次使用時(shí)，這些實(shí)現(xiàn)一般都把超時(shí)值重新設(shè)為 20 分鐘。路由器的功能相當(dāng)于目的主機(jī)的代理，把分組從其他主機(jī)轉(zhuǎn)發(fā)給它。在 sun 和子網(wǎng) 之間實(shí)際存在一個(gè)路由器，就是這個(gè)具有 ARP 代理功能的路由器使得 sun 就好像在子網(wǎng) 上一樣。主機(jī)gemini 通過(guò)以太網(wǎng)發(fā)送 IP 數(shù)據(jù)報(bào)到 b， b 通過(guò)撥號(hào) SLIP 鏈路把數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)到 sun。 gemini % arp a 這里是子網(wǎng) 上其他主機(jī)的輸出行 b () at 0:80:ad:3:6a:80 sun () at 0:80:ad:3:6a:80 圖 46 中的另一個(gè)需要解釋的細(xì)節(jié)是在路由器 b 的下方（ SLIP 鏈路）顯然缺少一個(gè) IP地址。所有的撥號(hào)主機(jī)使用同一個(gè) IP地址 作為 SLIP 鏈路的目的地址。 ARP 代理也稱作混合 ARP（ promiscuous ARP）或 ARP 出租 (ARP hack)。分開(kāi)這些舊主機(jī)有兩個(gè)共同的理由，其一是它們不能處理子網(wǎng)劃分，其二是它們使用舊的廣播地址（所有比特值為 0 的主機(jī)號(hào)，而不是目前使用的所有比特值為1 的主機(jī)號(hào)）。 在互聯(lián)網(wǎng)中，如果我們引導(dǎo)主機(jī) bsdi 并在主機(jī) sun 上運(yùn)行 TCP dump 命令，可以看到如圖4 7 所示的分組。 免費(fèi) ARP 可以有兩個(gè)方面的作用： 1) 一個(gè)主機(jī)可以通過(guò)它來(lái)確定另一個(gè)主機(jī)是否設(shè)置了相同的 IP 地址。 2) 如果發(fā)送免費(fèi) ARP 的主機(jī)正好改變了硬件地址（很可能是主機(jī)關(guān)機(jī)了，并換了一塊接口卡，然后重新啟動(dòng)），那么這個(gè)分組就可以使其他主機(jī)高速緩存中舊的硬件地址進(jìn)行相應(yīng)的更新。這使得所有目的地為故障服務(wù)器的報(bào)文都被送到備份服務(wù)器那里，客戶程序不用關(guān)心原來(lái)的服務(wù)器是否出了故障。 arp 命令 我們已經(jīng)用過(guò)這個(gè)命令及參數(shù) a 來(lái)顯示 ARP 高速緩存中的所有內(nèi)容。這個(gè)參數(shù)需要主機(jī)名和以太網(wǎng)地址：對(duì)應(yīng)于主機(jī)名的 IP 地址和以太網(wǎng)地址被增加到高速緩存中。如果廣播的地址是系統(tǒng)本身，那么系統(tǒng)就為指定的主機(jī)名起著委托 ARP 代理的作用。 ARP 命令可以顯示和修改 ARP 高速緩存中的內(nèi)容。一個(gè)網(wǎng)絡(luò)如以太網(wǎng)可以同時(shí)被不同的網(wǎng)絡(luò)層使用。 地址解析為這兩種不同的地址形式提供映射： 32bit 的 IP 地址和數(shù)據(jù)鏈路層使用的任何類型的地址。我們之所以用動(dòng)態(tài)這個(gè)詞是因?yàn)檫@個(gè)過(guò)程是自動(dòng)完成的，一般應(yīng)用程序用戶或系統(tǒng)管理員不必關(guān)心。這些步驟的序號(hào)如圖 4 2 所示。 2) F T P 客戶端請(qǐng)求 T C P 用得到的 I P 地址建立連接。在這兩種情況下， I P 數(shù)據(jù)報(bào)都是被送到位于本地網(wǎng)絡(luò)上的一臺(tái)主機(jī)或路由器。 A R P本來(lái)是用于廣播網(wǎng)絡(luò)的，有許多主機(jī)或路由器連在同一個(gè)網(wǎng)絡(luò)上。 ‖ 圖 42 當(dāng)用戶輸入命令 “ftp 主機(jī)名 ”時(shí) ARP 的操作 7) 目的主機(jī)的 A R P 層收到這份廣播報(bào)文后，識(shí)別出這是發(fā)送端在尋問(wèn)它的 I P 地址 ，于是發(fā)送一個(gè) A R P 應(yīng)答。在 A R P 背后有一個(gè)基本概念，那就是網(wǎng)絡(luò)接口有一個(gè)硬件地址（一個(gè) 48 bit 的值，標(biāo)識(shí)不同的以太網(wǎng)或令牌環(huán)網(wǎng)絡(luò)接口）。內(nèi)核（如以太 網(wǎng)驅(qū)動(dòng)程序）必須知道目的端的硬件地址才能發(fā)送數(shù)據(jù)。像以太網(wǎng)地址這樣的硬件地址并不涉及。 我們可以用 a r p(8)命令來(lái)檢查 ARP 高速緩存。 網(wǎng)絡(luò)層 ARP 協(xié)議的作用 你知道，數(shù)據(jù)包在局域網(wǎng)上是怎么傳輸?shù)膯幔渴强渴裁磥?lái)傳輸?shù)膯?？也許 你會(huì)說(shuō)是靠 IP 地址，那么你只正確了一半?？匆?jiàn) Reply from : bytes=32 time10ms TTL=32 這樣的信息。你一定會(huì)問(wèn)，網(wǎng)絡(luò)上這么多計(jì)算 機(jī)， A 是怎么找到 B 的？那么我們就來(lái)分析一下細(xì)節(jié)。然后 B 就會(huì)回應(yīng) A 一個(gè) ARP 應(yīng)答，就 是把 A 的源 IP，源 MAC 變成現(xiàn)在目的 IP，和目的 MAC，再帶上自己的源 IP，源 MAC，發(fā)送給 A。由于 arp 高速緩存是會(huì)定時(shí)自動(dòng)更新的，在沒(méi)有靜態(tài)綁定的情況下， IP 和 MAC 的映射關(guān)系會(huì)隨時(shí)間流逝自動(dòng)消失。 ARP 協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?―幀 ‖，幀里面是 有目標(biāo)主機(jī)的 MAC 地址的。 ARP 協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的 IP 地址，查詢目標(biāo)設(shè)備的 MAC 地址，以保證通信的順利進(jìn)行。如果找到了，也就知道了目標(biāo) MAC 地址，直接把目標(biāo) MAC 地址寫(xiě)入幀里面發(fā)送就可以了；如果在 ARP 緩存表 中沒(méi)有找到相對(duì)應(yīng)的 IP 地址，主機(jī) A 就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo) MAC 地址是 ―‖，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn)： ―的 MAC 地址是什么？ ‖網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng) ARP 詢問(wèn)，只有主機(jī) B 接收到這個(gè)幀時(shí)，才向主機(jī) A 做出這樣的回應(yīng)： ― MAC 地址是 00aa0062c609‖。 三、如何查看 ARP 緩存表 ARP 緩存表是可以查看的，也可以添加和修改。 所以我們要想實(shí)現(xiàn)截獲流經(jīng)網(wǎng)絡(luò)設(shè)備的所有數(shù)據(jù)包，就要采取一點(diǎn)特別的手段了： 將網(wǎng)卡設(shè)置為混雜模式。 雖然咋一看參數(shù)比較多，但是其實(shí)我們最關(guān)心的只是其中的第二項(xiàng)而已，我們需要做的就是把第二項(xiàng)設(shè)置為 SIO_RCVALL，講了這么多其實(shí)要做的就是這么一行代碼，很簡(jiǎn)單吧？ ^_^ 當(dāng)然我們還可以指定是否親自處理 IP 頭，但是這并不是必須的。 //開(kāi)啟 SnifferSocket=WSASocket(AF_INET, //創(chuàng)建raw socket SOCK_RAW,IPPROTO_IP,NULL,0,WSA_FLAG_OVERLAPPED)。 pHostent = gethostbyname(name)。 // 端口號(hào)可以隨便改，當(dāng)然與當(dāng)然系統(tǒng)不能沖突 memcpy(amp。 //綁定 // 置 ioctl 來(lái)接收所有網(wǎng)絡(luò)數(shù)據(jù) ,關(guān)鍵步驟 DWORD dwBufferLen[10] 。dwBufferInLen, izeof(dwBufferInLen), amp。 的實(shí)現(xiàn)方法： winpcap 驅(qū)動(dòng)包，是我們玩轉(zhuǎn)數(shù)據(jù)包不可或缺的好 東東， winpcap 的主要功能在于獨(dú)立于主機(jī)協(xié)議（如 TCPIP)而發(fā)送和接收原始數(shù)據(jù)報(bào)，主要為我們提供了四大功