ARP协议揭密.docVIP

张新瑞 (zhangxinrui2@163.com) 2003 年 5 月 1 ARP协议概述 IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。 ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信。 如果有一个不被信任的节点对本地网络具有写访问许可权，那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些机器，或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上， ARP映射可以用固件，并且具有自动抑制协议达到防止干扰的目的。 图1 以太网上的ARP报文格式 图2 同一网段的arp欺骗 他先研究这台主机，发现这台主机的漏洞。 根据发现的漏洞使主机C当掉，暂时停止工作。 这段时间里，入侵者把自己的ip改成 他用工具发一个源ip地址为源MAC地址为BB:BB:BB