ARP欺骗工具与技巧：常见ARP欺骗工具_（2）.ARP协议基础.docxVIP

PAGE1

PAGE1

ARP协议基础

1.ARP协议概述

ARP（AddressResolutionProtocol）地址解析协议，是用于将IP地址转换为物理（MAC）地址的网络协议。在局域网中，主机间的数据传输需要通过MAC地址来进行，而ARP协议的主要作用就是实现IP地址到MAC地址的映射。这一映射过程对于网络通信的正常运行至关重要。

ARP协议工作在OSI模型的第二层（数据链路层），并与第三层（网络层）的IP协议紧密配合。每当一个主机需要向另一个主机发送数据时，它首先需要确定目标主机的MAC地址。如果主机的ARP缓存中有目标主机的MAC地址，它可以直接使用该地址进行数据传输；如果ARP缓存中没有目标主机的MAC地址，主机将发送一个ARP请求广播，询问目标主机的MAC地址。目标主机会响应这个ARP请求，将自己的MAC地址返回给请求者，请求者将收到的MAC地址存储在ARP缓存中，以便后续的通信使用。

2.ARP报文格式

ARP报文主要由以下部分组成：

硬件类型（HardwareType）：2字节，表示ARP报文的硬件类型。以太网的值为1。

协议类型（ProtocolType）：2字节，表示ARP报文的协议类型。IPv4的值为0x0800。

硬件地址长度（HardwareAddressLength）：1字节，表示硬件地址的长度。以太网的值为6。

协议地址长度（ProtocolAddressLength）：1字节，表示协议地址的长度。IPv4的值为4。

操作类型（Operation）：2字节，表示ARP操作类型。1表示ARP请求，2表示ARP响应。

发送方硬件地址（SenderHardwareAddress）：6字节，表示发送方的MAC地址。

发送方协议地址（SenderProtocolAddress）：4字节，表示发送方的IP地址。

目标硬件地址（TargetHardwareAddress）：6字节，表示目标方的MAC地址。

目标协议地址（TargetProtocolAddress）：4字节，表示目标方的IP地址。

3.ARP缓存

ARP缓存是一个存储IP地址和MAC地址映射关系的表，主机在发送数据之前会先查询ARP缓存。ARP缓存分为两种类型：静态ARP缓存和动态ARP缓存。

静态ARP缓存：由网络管理员手动配置，不会被自动更新或删除。通常用于关键设备，如路由器和服务器，以确保这些设备的MAC地址不会被错误的ARP响应所覆盖。

动态ARP缓存：由ARP协议自动维护，条目会随着网络通信的变化而动态添加和删除。动态ARP缓存的条目有一定的生存时间（TTL），过期后会被自动删除。

4.ARP请求与响应

4.1ARP请求

当主机需要发送数据但不知道目标主机的MAC地址时，会发送一个ARP请求报文。ARP请求报文通过广播方式发送到局域网中的所有主机，报文格式如下：

硬件类型:0x0001(以太网)

协议类型:0x0800(IPv4)

硬件地址长度:0x06(6字节)

协议地址长度:0x04(4字节)

操作类型:0x0001(ARP请求)

发送方硬件地址:00:11:22:33:44:55

发送方协议地址:192.168.1.1

目标硬件地址:00:00:00:00:00:00

目标协议地址:192.168.1.2

4.2ARP响应

当目标主机收到ARP请求报文后，会发送一个ARP响应报文，包含自己的MAC地址。ARP响应报文通过单播方式发送到请求主机，报文格式如下：

硬件类型:0x0001(以太网)

协议类型:0x0800(IPv4)

硬件地址长度:0x06(6字节)

协议地址长度:0x04(4字节)

操作类型:0x0002(ARP响应)

发送方硬件地址:66:77:88:99:AA:BB

发送方协议地址:192.168.1.2

目标硬件地址:00:11:22:33:44:55

目标协议地址:192.168.1.1

5.ARP协议的工作流程

ARP协议的工作流程可以分为以下几个步骤：

主机A需要向主机B发送数据：

主机A检查自己的ARP缓存，查找是否有主机B的IP地址和MAC地址的映射。

如果ARP缓存中有主机B的MAC地址，主机A直接使用该MAC地址进行数据传输。

如果ARP缓存中没有主机B的MAC地址，主机A将发送一个ARP请求报文。

主机A发送ARP请求报文：

ARP请求报文通过广播方式发送到局域网中的所有主机。

报文内容包括主机A的MAC地址和IP地址，以及目标主机B的IP地址。

主机B收到ARP请求报文：

主机B检查ARP请求报文中的目标IP地址是否与自己的IP地址匹配。