【文章內(nèi)容簡介】 中獲得的發(fā)送方的MAC 地址和發(fā)送方IP 地址，并將其作為目標(biāo)主機(jī)的MAC 地址與IP 地址，并將它自己的MAC地址與IP 地址作為發(fā)送方信息。(6)目標(biāo)主機(jī)刷新自己的ARP 緩存：作為一種最優(yōu)化的方法，目標(biāo)主機(jī)將會(huì)向自己的ARP 緩存中添加源主機(jī)的MAC 地址與IP 地址，這是為目標(biāo)主機(jī)為后續(xù)操做做準(zhǔn)備。(7)目標(biāo)主機(jī)發(fā)送ARP 應(yīng)答信息：目標(biāo)主機(jī)發(fā)送的ARP 應(yīng)答信息是專門向源主機(jī)單播發(fā)送的，因?yàn)橐呀?jīng)沒有必要再發(fā)送廣播信息了。(8)源主機(jī)處理ARP 應(yīng)答信息：源主機(jī)對(duì)接收到的ARP 應(yīng)答信息進(jìn)行處理，將發(fā)送端(目的主機(jī))的MAC 地址作為目標(biāo)主機(jī)的數(shù)據(jù)鏈路層地址，并發(fā)送IP 數(shù)據(jù)包。(9) 源主機(jī)刷新自己的ARP 緩存：源主機(jī)用接收到的ARP 應(yīng)答信息刷新自己的ARP 緩存，以便以后再與該目標(biāo)主機(jī)通信。ARP 協(xié)議是一種相對(duì)簡單的請求/應(yīng)答協(xié)議。源主機(jī)通過目標(biāo)主機(jī)的IP 地址發(fā)送ARP 請求，目標(biāo)主機(jī)向源主機(jī)回送ARP 應(yīng)答信息告知目標(biāo)主機(jī)的MAC 地址。ARP 緩存的使用和自動(dòng)更新緩存信息的應(yīng)用大大增強(qiáng)了地址解析的效率，這也是為什么將其列入ARP 協(xié)議特征的重要原因。 ARP 信息的格式用 ARP 協(xié)議進(jìn)行地址解析是通過在源主機(jī)與目的主機(jī)之間互換信息來完成的。在其他協(xié)議中，地址解析的每一步所涉及的信息都包含在其他協(xié)議的信息格式中。ARP 信息的格式相對(duì)較簡單，其中有用于描述信息類型的信息，還有關(guān)于通信雙方IP 地址與MAC 地址的信息，為方便不同長度地址的存放，特意為IP地址與MAC 地址劃分了不同長度的地址空間。ARP 的信息格式如下：硬件類型協(xié)議類型硬件地址長度協(xié)議長度操作字段發(fā)送方硬件地址(字節(jié)03)發(fā)送方硬件地址(字節(jié)45)發(fā)送方IP 地址(字節(jié)01)發(fā)送方IP 地址(字節(jié)23)目的硬件地址(字節(jié)01)目的方硬件地址(字節(jié)25)目的方IP 地址(字節(jié)03) ARP 信息格式下面用一個(gè)圖表來說明ARP 信息中各部分所代表的內(nèi)容：表 ARP 信息說明字段 名大小屬 性硬件類型2字節(jié)發(fā)送方想知道的硬件接口類型，以太網(wǎng)的值為 1。協(xié)議類型2字節(jié)協(xié)議類型是硬件類型的補(bǔ)充，描述了 IP 地址的類型，并指明發(fā)送方提供的高層協(xié)議類型。對(duì)于IPv4 網(wǎng)絡(luò)來說，IP 值為0800(16 進(jìn)制)。硬件地址長度1字節(jié)定義硬件地址的長度，對(duì)以太網(wǎng)或其他以 IEEE802 作為標(biāo)準(zhǔn)的網(wǎng)絡(luò)的MAC 地址來說，值為6。協(xié)議長度1字節(jié)指明高層協(xié)議地址的長度，對(duì)于 IPv4 地址來說值為4。操作字段2字節(jié)定義 ARP 信息的屬性，ARP 請求為1，ARP 應(yīng)答為2，RARP 請求為3，RARP 應(yīng)答為4。發(fā)送方硬件地址變長發(fā)送方的硬件地址發(fā)送方 IP 地址變長發(fā)送方的 IP 地址目的硬件地址變長目的主機(jī)的硬件地址目的 IP 地址變長目的主機(jī)的 IP 地址當(dāng) ARP 數(shù)據(jù)包構(gòu)造完成后，將其向下傳遞到數(shù)據(jù)鏈路層，然后發(fā)送出去。整個(gè)ARP 數(shù)據(jù)包作為有效載荷在網(wǎng)絡(luò)中傳輸。由于地址字段的信息是變長的，因此整個(gè)ARP 數(shù)據(jù)包的大小是可變的。但其實(shí)一個(gè)完整的ARP 數(shù)據(jù)包是非常小的。 ARP 緩存ARP 協(xié)議是一種動(dòng)態(tài)地址解析協(xié)議，也就是說每進(jìn)行一次地址解析都要求在網(wǎng)絡(luò)上互換地址信息。雖說ARP 信息包并不大，但如果每一個(gè)IP 數(shù)據(jù)包在網(wǎng)絡(luò)上的每一跳都這樣做，網(wǎng)絡(luò)上的壓力將會(huì)達(dá)到無法預(yù)料的大。那么，相對(duì)于簡單的直接映射來說，這種方法既耗費(fèi)資源又浪費(fèi)時(shí)間?？偟膩碚f，ARP 請求信息包發(fā)送出去后，網(wǎng)絡(luò)上的每臺(tái)主機(jī)都要把接收到的信息與自己比較一下，看是否與之匹配。動(dòng)態(tài)地址解析方法效率問題的總體解決方案就是引入地址緩存。另外，為了降低網(wǎng)絡(luò)交通的壓力，地址緩存也保證了地址解析所耗費(fèi)的時(shí)間非常少。這也是地址緩存功能從一開始就被寫入ARP 協(xié)議的重要原因。ARP 緩存以表的形式保存映射的IP 地址與MAC 地址對(duì)，網(wǎng)絡(luò)中的每個(gè)設(shè)備管理其自己的ARP 緩存表。有兩種方式向ARP 緩存表中寫入數(shù)據(jù)：(1)靜態(tài)ARP 緩存：在進(jìn)行動(dòng)態(tài)解析時(shí)人工向ARP 緩存表中添加記錄信息，并在緩存中永久保存。靜態(tài)記錄一般由ARP 管理軟件進(jìn)行管理。(2)動(dòng)態(tài)ARP 緩存：該方式在經(jīng)過ARP 地址解析后，IP 地址與MAC 地址對(duì)由軟件自動(dòng)填寫入ARP 地址緩存中。他們在ARP 地址緩存中僅保存一段時(shí)間，之后便從中刪除。一個(gè)設(shè)備的 ARP 緩存中包括動(dòng)態(tài)和靜態(tài)的記錄，每種記錄方式都有其優(yōu)點(diǎn)與缺點(diǎn)。但在大多數(shù)情況下使用動(dòng)態(tài)ARP 緩存記錄，因?yàn)樗亲詣?dòng)添加，而且不會(huì)牽涉管理員的經(jīng)歷。在規(guī)范網(wǎng)絡(luò)中，靜態(tài) ARP 緩存記錄得到很好的應(yīng)用，但這種方法的缺點(diǎn)就是需要人工添加記錄，并且一旦MAC 地址或IP 地址有變更需要人工修改。每條靜態(tài)記錄都會(huì)占據(jù)緩存表的空間，因此，緩存表中靜態(tài)記錄數(shù)量有限，不能使用太多靜態(tài)記錄。動(dòng)態(tài)記錄是自動(dòng)添加進(jìn)緩存的，不需要人工添加和人工服務(wù)。但動(dòng)態(tài)記錄不可能永遠(yuǎn)保存在緩存中，因?yàn)殡S著網(wǎng)絡(luò)情況的變化，保存在緩存中的靜態(tài)記錄會(huì)因無效而失去作用。假設(shè)主機(jī) A 的ARP 緩存中保存著另一網(wǎng)絡(luò)主機(jī)B 的動(dòng)態(tài)映射，如果動(dòng)態(tài)記錄永遠(yuǎn)保存在緩存表中，下列情況就會(huì)發(fā)生：(1)主機(jī)的硬件發(fā)生改變：若主機(jī)B 更換了網(wǎng)卡，由于記錄中的MAC 地址不會(huì)再出現(xiàn)，主機(jī)A 的ARP 緩存中保存的動(dòng)態(tài)映射信息變?yōu)闊o效。(2)主機(jī)的IP 地址發(fā)生改變：如果設(shè)備B 的IP 地址發(fā)生了改變，保存在設(shè)備A 中的映射記錄也會(huì)變?yōu)闊o效。(3)設(shè)備被移除：如果設(shè)備B 從網(wǎng)絡(luò)中移除，設(shè)備A 不需要再向它發(fā)送信息，但映射記錄仍舊保存在設(shè)備A 的地址緩存中，這樣不僅浪費(fèi)緩存空間，而且還會(huì)在設(shè)備A 查詢緩存表時(shí)耗費(fèi)時(shí)間。為了避免這些問題的出現(xiàn)，將動(dòng)態(tài)地址記錄設(shè)置一定的生存周期，一般為10 分鐘或20 分鐘。規(guī)定時(shí)間過后，記錄自動(dòng)從緩存中刪除，下次再通信就需要刷新緩存。相對(duì)于靜態(tài)記錄，這種方法在效率上僅存在微乎其微的差距，每10分鐘或20 分鐘發(fā)送兩個(gè)28 字節(jié)的信息對(duì)網(wǎng)絡(luò)幾乎沒有任何影響。如果主機(jī) A 初次開始地址解析時(shí)發(fā)送一個(gè)標(biāo)準(zhǔn)的ARP 申請，在網(wǎng)絡(luò)中每個(gè)接收到申請信息的主機(jī)都需要刷新自己的ARP 緩存記錄。然而，第三方設(shè)備不必為設(shè)備A 創(chuàng)建新的緩存記錄。從對(duì)主機(jī) A 進(jìn)行地址解析的角度來說，為主機(jī)A 創(chuàng)建新的緩存記錄可以為以后的通信提供方便，但這意味著網(wǎng)絡(luò)中所有設(shè)備的ARP 緩存表會(huì)很快被其他主機(jī)的地址解析信息填滿。有些主機(jī)可能會(huì)創(chuàng)建這樣的緩存記錄，但一定會(huì)把這些記錄設(shè)置好有效期，以避免緩存表被填滿。 代理 ARP在同一網(wǎng)絡(luò)中連接的設(shè)備通過ARP 協(xié)議進(jìn)行通信。網(wǎng)絡(luò)中的每臺(tái)主機(jī)都可以向其他主機(jī)發(fā)送單播或廣播信息。通常情況下，如果主機(jī)A 和主機(jī)B 被路由器分開，主機(jī)A 就不能與主機(jī)B 直接通信。他們會(huì)通過數(shù)據(jù)鏈路層先向路由器傳輸信息，根據(jù)IP 地址經(jīng)過兩跳到達(dá)主機(jī)B。與一般情況不同的是，有些網(wǎng)絡(luò)是由兩個(gè)網(wǎng)絡(luò)通過路由器連接組成的，兩個(gè)網(wǎng)絡(luò)具有相同的IP 地址段和子網(wǎng)掩碼。也就是說，主機(jī)A 和主機(jī)B 在數(shù)據(jù)鏈路層分別處于不同的局域網(wǎng)，但卻具有相同的IP 地址段。因此，當(dāng)發(fā)送IP 數(shù)據(jù)包時(shí)，主機(jī)A 與主機(jī)B 都認(rèn)為對(duì)方和自己處于同一個(gè)局域網(wǎng)。如果主機(jī)A 要向主機(jī)B 發(fā)送數(shù)據(jù)包，可它的地址緩存中并沒有主機(jī)B 的MAC 地址，則主機(jī)A 只好進(jìn)行地址解析。但實(shí)際上主機(jī)B 與主機(jī)A 并不在同一個(gè)局域網(wǎng)中，連接兩個(gè)網(wǎng)絡(luò)的路由器并不會(huì)自動(dòng)將主機(jī)A 的廣播發(fā)給主機(jī)B 所在的網(wǎng)絡(luò)，主機(jī)B 也不回接收到來自主機(jī)A 的請求，因此主機(jī)A 不會(huì)接到包含主機(jī)B 的MAC 地址的回復(fù)。對(duì)這種情況所作的 ARP 的改進(jìn)稱作ARP 代理。架在兩個(gè)局域網(wǎng)之間的路由器用來代表主機(jī)B 回復(fù)主機(jī)A 的廣播，它告之主機(jī)A 的并不是主機(jī)B 的MAC地址，即主機(jī)A 不可能直接與主機(jī)B 通信。而路由器告訴主機(jī)A 的是路由器本身的MAC 地址。如果主機(jī)A 想與主機(jī)B 通信，主機(jī)A 先向路由器發(fā)送信息。反過來的過程也是一樣的。路由器并不自動(dòng)轉(zhuǎn)發(fā)ARP 廣播，它只作為一個(gè)ARP代理設(shè)備。ARP 代理的優(yōu)勢就是允許通信雙方可以處于不同的局域網(wǎng)。當(dāng)它也有缺點(diǎn)，首先，它增加了復(fù)雜度。其次，如果兩個(gè)有相同IP 地址段的網(wǎng)絡(luò)中間出現(xiàn)多個(gè)路由器，那么問題就會(huì)升級(jí)。ARP 代理同樣會(huì)帶來潛在的安全問題。因此，ARP代理應(yīng)該被重新規(guī)劃設(shè)計(jì)，并盡可能在兩個(gè)局域網(wǎng)中架設(shè)一個(gè)路由器。 ARP 欺騙 ARP 欺騙原理當(dāng)IP 數(shù)據(jù)報(bào)準(zhǔn)備發(fā)送時(shí)，由數(shù)據(jù)鏈路層將它封裝入以太網(wǎng)數(shù)據(jù)幀，然后才能在以太網(wǎng)中傳送。然而在封裝過程中，數(shù)據(jù)鏈路層并不知道以太網(wǎng)數(shù)據(jù)幀頭中目的主機(jī)的MAC 地址。唯一的信息是IP 數(shù)據(jù)報(bào)頭中的目的主機(jī)的IP 地址。為了找到與目的主機(jī)IP 地址相對(duì)應(yīng)的MAC 地址，根據(jù)地址解析協(xié)議(ARP)，源主機(jī)會(huì)以廣播的形式發(fā)送一個(gè)ARP 請求以太網(wǎng)數(shù)據(jù)幀給以太網(wǎng)上的每一個(gè)主機(jī)。ARP 請求數(shù)據(jù)幀中包含目的主機(jī)的IP 地址，只有具有此IP 地址的主機(jī)收到這份廣播報(bào)文后，才會(huì)向源主機(jī)回送一個(gè)包含其MAC 地址的ARP 應(yīng)答。并且為了盡量減少廣播ARP 請求的次數(shù)，每個(gè)主機(jī)都有一個(gè)ARP 緩存，這個(gè)緩存存放了最近的IP 地址與MAC 地址之間的映射記錄。主機(jī)每隔一定時(shí)間或者當(dāng)收到ARP應(yīng)答，就會(huì)用新的地址映射對(duì)更新ARP 緩存。因?yàn)锳RP 是一個(gè)無狀態(tài)協(xié)議，所以對(duì)于大多數(shù)操作系統(tǒng)來說，如果收到一個(gè)ARP 應(yīng)答，它們不管自己是否在此之前曾經(jīng)發(fā)出ARP 請求，都會(huì)更新自己的ARP 緩存。這就為系統(tǒng)安全留下了很大的隱患。ARP 欺騙的核心思想就是向目標(biāo)主機(jī)發(fā)送偽造的ARP 應(yīng)答，并使目標(biāo)主機(jī)根據(jù)應(yīng)答中偽造的IP 地址與MAC 地址之間的映射對(duì)，更新目標(biāo)主機(jī)ARP 緩存。假設(shè)S 代表源主機(jī)，即將要被欺騙的主機(jī)；D 代表目的主機(jī)，源主機(jī)S 本來是向它發(fā)送數(shù)據(jù)的；A 代表攻擊者主機(jī)，進(jìn)行ARP 欺騙。假設(shè)主機(jī)A 已知主機(jī)D 的IP 地址，于是它暫時(shí)將自己的IP 地址改為主機(jī)D 的IP 地址。當(dāng)源主機(jī)S 想要向主機(jī)D 發(fā)送數(shù)據(jù)時(shí)，假設(shè)目前其ARP 緩存中沒有關(guān)于目的主機(jī)D 的記錄，那么它首先在局域網(wǎng)中廣播包含主機(jī)D 的IP 地址的ARP 請求。但此時(shí)攻擊者主機(jī)A 具有與目的主機(jī)D 相同的IP 地址，于是分別來自攻擊者主機(jī)A 與目的主機(jī)D的ARP 響應(yīng)報(bào)文將相繼到達(dá)源主機(jī)S。此時(shí)，攻擊者主機(jī)A 是否能夠欺騙成功就取決于源主機(jī)S 的操作系統(tǒng)處理重復(fù)ARP 響應(yīng)報(bào)文的機(jī)制。不妨假設(shè)該機(jī)制總是用后到達(dá)的ARP 響應(yīng)中的地址對(duì)刷新緩存中的內(nèi)容。那么如果攻擊者主機(jī)A 控制自己的ARP 響應(yīng)晚于目的主機(jī)D 的ARP 響應(yīng)到達(dá)源主機(jī)S，源主機(jī)S 就會(huì)將如下偽造映射：將目的主機(jī)D 的IP 地址對(duì)應(yīng)攻擊者主機(jī)A 的MAC 地址，保存在自己的ARP 緩存中。在這個(gè)記錄過期之前，凡是源主機(jī)S 發(fā)送給目的主機(jī)D 的數(shù)據(jù)實(shí)際上都將發(fā)送給攻擊者主機(jī)A，而源主機(jī)S 卻毫不察覺?；蛘吖粽咧鳈C(jī)A 在上述過程中，利用其它方法直接抑制來自目的主機(jī)D 的ARP 應(yīng)答將是一個(gè)更有效的方法而不用依賴于不同操作系統(tǒng)的處理機(jī)制。進(jìn)一步分析，攻擊者主機(jī)A 可不依賴于上述過程，直接在底層偽造ARP 響應(yīng)報(bào)文來達(dá)到同樣的欺騙目的。 ARP 欺騙的攻擊方式ARP 攻擊發(fā)生時(shí)，攻擊者利用地址解析協(xié)議本身的運(yùn)行機(jī)制發(fā)動(dòng)攻擊行為。包括進(jìn)行對(duì)主機(jī)發(fā)動(dòng)IP 沖突攻擊、數(shù)據(jù)包轟炸，切斷局域網(wǎng)上任何一臺(tái)主機(jī)的網(wǎng)絡(luò)連接等[9]。ARP 欺騙的攻擊方式有如下幾種：(1)中間人攻擊：中間人攻擊就是攻擊者將自己插入兩個(gè)目標(biāo)主機(jī)通信路徑之間，使它如同兩個(gè)目標(biāo)主機(jī)通信路徑上的一個(gè)中繼，這樣攻擊者就可以監(jiān)聽兩個(gè)目標(biāo)主機(jī)之間的通信。其過程如下：C 侵染目標(biāo)主機(jī)A 與B 的ARP 緩存，使得當(dāng)A 向B 發(fā)送數(shù)據(jù)時(shí)，使用的是B 的IP 地址與C 的MAC 地址，并且當(dāng)B 向A 發(fā)送數(shù)據(jù)時(shí)，使用的是A 的IP 地址與C 的MAC 地址。因此，所有A 與B 之間的通信數(shù)據(jù)都將經(jīng)過C，再由C 轉(zhuǎn)發(fā)給它們。如果攻擊者對(duì)一個(gè)目標(biāo)主機(jī)與它所在的局域網(wǎng)的路由器實(shí)施中間人攻擊，那么攻擊者就可以竊取網(wǎng)絡(luò)上與這個(gè)目標(biāo)主機(jī)之間的全部通信數(shù)據(jù)，并且可以對(duì)數(shù)據(jù)進(jìn)行竄改和偽造。但動(dòng)態(tài)映射對(duì)存在過期的問題，而且主機(jī)A 與B 之間也會(huì)進(jìn)行正常的ARP 數(shù)據(jù)包交互。要解決這個(gè)問題，主機(jī)C 可以選擇比較小的時(shí)間間隔持續(xù)發(fā)送偽造的數(shù)據(jù)包，這樣就可以使主機(jī)A 與B 之間的通信一直中斷。(2)IP 地址沖突[9]：主機(jī)發(fā)送更改的ARP 報(bào)文，將偽裝的MAC 地址映射到目標(biāo)主機(jī)的IP 地址，制造出局域網(wǎng)上有另一臺(tái)主機(jī)與受害主機(jī)共享一個(gè)IP 地址的假象，系統(tǒng)會(huì)檢測到兩個(gè)不同的MAC 地址對(duì)應(yīng)同一個(gè)IP 地址，由于違反了唯一性要求，出現(xiàn)了IP 地址沖突，受害主機(jī)會(huì)自動(dòng)向用戶彈出警告對(duì)話框。最終導(dǎo)致被攻擊主機(jī)無