ARP协议分析(1)

作者: 佚名 出处:pcdog.com　2007-11-01 14:03　   砖    好    评论  条 　进入论坛

阅读提示：本文对ARP协议进行了详细分析。

ARP（AddressResolutionProtocol）地址解析协议用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）[RFC826]。
ARP协议是属于链路层的协议，在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。当然，点对点的连接是不需要ARP协议的。
ARP协议的数据结构：

typedefstructarphdr { unsignedshortarp_hrd;/*硬件类型*/ unsignedshortarp_pro;/*协议类型*/ unsignedchararp_hln;/*硬件地址长度*/ unsignedchararp_pln;/*协议地址长度*/ unsignedshortarp_op;/*ARP操作类型*/ unsignedchararp_sha[6];/*发送者的硬件地址*/ unsignedlongarp_spa;/*发送者的协议地址*/ unsignedchararp_tha[6];/*目标的硬件地址*/ unsignedlongarp_tpa;/*目标的协议地址*/ }ARPHDR,*PARPHDR;

为了解释ARP协议的作用，就必须理解数据在网络上的传输过程。这里举一个简单的PING例子。
假设我们的计算机IP地址是192.168.1.1，要执行这个命令：ping192.168.1.2。该命令会通过ICMP协议发送ICMP数据包。该过程需要经过下面的步骤：
1、应用程序构造数据包，该示例是产生ICMP包，被提交给内核（网络驱动程序）；
2、内核检查是否能够转化该IP地址为MAC地址，也就是在本地的ARP缓存中查看IP-MAC对应表；
3、如果存在该IP-MAC对应关系，那么跳到步骤9；如果不存在该IP-MAC对应关系，那么接续下面的步骤；
4、内核进行ARP广播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令类型为REQUEST（1），其中包含有自己的MAC地址；
5、当192.168.1.2主机接收到该ARP请求后，就发送一个ARP的REPLY（2）命令，其中包含自己的MAC地址；
6、本地获得192.168.1.2主机的IP-MAC地址对应关系，并保存到ARP缓存中；
7、内核将把IP转化为MAC地址，然后封装在以太网头结构中，再把数据发送出去；
使用arp-a命令就可以查看本地的ARP缓存内容，所以，执行一个本地的PING命令后，ARP缓存就会存在一个目的IP的记录了。当然，如果你的数据包是发送到不同网段的目的地，那么就一定存在一条网关的IP-MAC地址对应的记录。
知道了ARP协议的作用，就能够很清楚地知道，数据包的向外传输很依靠ARP协议，当然，也就是依赖ARP缓存。要知道，ARP协议的所有操作都是内核自动完成的，同其他的应用程序没有任何关系。同时需要注意的是，ARP协议只使用于本网络。
ARP协议的利用和相关原理介绍。
一、交换网络的嗅探
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，在上面的假设网络中，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存，将本地的IP-MAC对应表更换为接收到的数据格式，由于这一切都是A的系统内核自动完成的，A可不知道被伪造了。
ARP欺骗的主要用途就是进行在交换网络中的嗅探。有关交换网络的嗅探不是本文的讨论内容。

共2页: 1 [2] 下一页

【内容导航】