ARP概述及主流ARP防火墙横向比较(转).pdfVIP

ARP 概述及主流ARP 防火墙横向比较（转） 序言 ARP 欺骗是个很老的话题了，自从有了TCP/IP 协议的那一刻起它就存在了。曾起何时，ARP 不过是大学 校园的“赖皮”学生用来争抢IP 的一种技术手段而已！而现在利用ARP 攻击方式盗取密码的事情数见不鲜！ 由于ARP 攻击导致频繁掉线的事情频频出现。，让人很恼火。本文将着力解释什么是ARP 攻击及其原理 等，让读者朋友们对其有个深入的了解，并通过对国内六款主流的ARP 防火墙的横向评测，为读者挑出自 己满意的ARP 防火墙。 什么是ARP ARP 是地址转换协议（Address Resolution Protocol ）的英文缩写，它是一个链路层协议，工作在OSI 模型的第二层，在本层和硬件接口间进行联系，同时对上层（网络层）提供服务。二层的以太网交换设备 并不能识别32 位的IP 地址，它们是以48 位以太网地址（就是我们常说的MAC 地址）传输以太网数据 包的。也就是说IP 数据包在局域网内部传输时并不是靠IP 地址而是靠MAC 地址来识别目标的，因此IP 地址与MAC 地址之间就必须存在一种对应关系，而ARP 协议就是用来确定这种对应关系的协议。 Windows 操作系统，在命令行窗口输入arp -a命令可查看本机当前的ARP 缓存表，ARP 缓存表保存的 就是IP 地址与MAC 地址的对应关系，如图 1 所示： （图：1） 上图中，Internet Address指的就是IP 地址，Physical Address指的就是MAC 地址。 ARP 欺骗原理（此资料引自彩影软件官方网站） 要说到ARP 的欺骗原理，就不得不先说下ARP 协议的工作原理： ARP 数据包根据接收对象不同，可分为两种： 1. 广播包(Broadcast)。广播包目的MAC 地址为FF-FF-FF-FF-FF-FF，交换机设备接收到广播包后，会 把它转发给局域网内的所有主机。 2. 非广播包(Non-Broadcast)。非广播包后只有指定的主机才能接收到。 ARP 数据包根据功能不同，也可以分为两种： 1. ARP 请求包(ARP Request)。ARP 请求包的作用是用于获取局域网内某IP 对应的MAC 地址。 2. ARP 回复包(ARP Reply)。ARP 回复包的作用是告知别的主机，本机的IP 地址和MAC 是什么。 广播的一般都是ARP 请求包，非广播的一般都是ARP 回复包。 假设局域网内有以下两台主机，主机名、IP 地址、MAC 地址分别如下： 主机名 IP 地址 MAC 地址 A 192.168.0.1 AA-AA-AA-AA-AA-AA B 192.168.0.2 BB-BB-BB-BB-BB-BB 当主机A 需要与主机B 进行通讯时，它会先查一下本机的ARP 缓存中，有没有主机B 的MAC 地址。如 果有就可以直接通讯。如果没有，主机A 就需要通过ARP 协议来获取主机B 的MAC 地址，具体做法相当 于主机A 向局域网内所有主机喊一嗓子：“喂～谁是192.168.0.2？我是192.168.0.1，我的MAC 地址 是AA-AA-AA-AA-AA-AA 。你的MAC 地址是什么，快告诉我”，这时候主机A 发的数据包类型为：广播-请求。 当主机B 接收到来自主机A 的“ARP 广播-请求”数据包后，它会先把主机A 的IP 地址和MAC 地址对应关 系保存/更新到本机的ARP 缓存表中，然后它会给主机A 发送一个“ARP 非广播-回复”数据包，其作用相 当于告诉主机A：“嘿，我是192.168.0.2，我的MAC 地址是BB-BB-BB-BB-BB-BB”。当主机A 接收 到主机B 的回复后，它会把主机B 的IP 地址和MAC 地址对应关系保存/更新到本机的ARP 缓存表中，之 后主机A 和B 就可以进行通讯了。 从上述局域网主机通讯过程可以看出，主机在两种情况下会保存、更新本机的ARP 缓存表， 1. 接收到“ARP 广播-请求”包时 2. 接收到“ARP 非广播-回复”包时 从《ARP 协议工作原理》一文我们已经了解到，主机在两种情况下会保存、更新本机的ARP 缓存表， 1. 接收到“ARP 广播-请求”包时 2. 接收到“ARP 非广播-回复”包时 从中我们可以看出，ARP 协议是没有身份验证机制的，局域网内任何主机都可以随意伪造ARP 数据包， ARP 协议设计天生就存在严重缺陷。 假设局域网内有以下三台主机（其中GW 指网关），主机名、IP 地址、MAC 地址分别如下： 主机名 IP