ARP協議筆記記錄

   ARP協議筆記

    ㈠ ARP的定義

    ARP（Address Resolution Protocol），地址解析協議，把IP地址解析成MAC地址如：192.168.1.1->00-1E-37-44-86-5E，電腦在局域網內通訊時用數據幀通訊的，數據幀的頭部就包含MAC地址信息

    看下面這張圖：

 

    PC1想向PC2發送數據，就必須得知道PC2的IP地址和MAC地址，為什麼呢？請再看下圖：

 

    任何的一個網絡都是以OSI參考模型做參考的。發送數據都是要進行卦裝的所以，PC1想向PC2發送數據，就一定要知道PC2的MAC地址！

    那要怎樣PC1才可以知道呢？

    當PC1想發送數據到PC2，會先對照自己的ARP表，如果發現沒有IP與MAC對應時，就會由PC1，發送一個廣播的ARP請求這個ARP請求的內容包 括：源IP192.168.1.2，源MAC：0C.E1.12……，目IP192.168.1.3，目MAC：00.00.00.00什麼是廣播？也就 是"我PC1要找PC2的MAC地址，請問誰是？"，同一網絡內的機子都收得到此廣播因為是廣播的形式，所以PC3也一樣可以接收！PC3接收了之後就開 始解卦裝，到達網絡層時發現自己不是192.168.1.3，丟棄！

    PC2也接到同樣的請求，在網絡層時發現自己的IP與請求的IP相同，PC2就發送一個ARP應答這個應答來告訴PC1我是192.168.1.3的 MAC地址：F2.A0.12……。PC1收到後就把IP192.168.1.3對應的MAC保存在ARP表中這時，PC1就可以對PC2發送信息了！

    ㈡ 代理ARP

    先看下圖：

 

    代理簡單的理解是本來有由C來做這件事情的，現在由router來做當A ping C，主機A首先做的事情就是查自己的ARP表此時，發現沒有主機C的MAC！沒有對應目標的MAC，A就廣播主機B接收了廣播，通過解封裝，發現目的IP 與自己的IP不配，丟棄此包！

    廣播是在同一個網段裡，而router的E1口也是屬於該網段，所以E1口一樣接收到廣播當router接收到廣播時，同樣也解封裝，然後查看自己的路由表，些時就發現地址172.16.1.2是在E0口的172.16.1.0網段下這時候，router就代替主機C發送了ARP應答並附上E1口的MAC地址給主機A！

    這樣，在主機A的ARP表裡就存在了172.16.1.2所對就的MAC（注意這個MAC是routerE1口的）！

    其實這個router的應答是一種欺騙，它欺騙了主機A，只不過是正面的欺騙然後，主機A就可以向主機C發送數據了。主機A發送一個數據通過查看自己 ARP表就把該數據發送到E1口router接收到數據後通過表看自己的路由表，把數據進行轉發到主機C㈢ ARP攻擊

    類似於我明明是Think，但是我給所有同學發短信說“我是Dave，這是我的新號碼”

    這樣同學們給Dave發的短信以後就全部回到我這兒來，Dave就沒辦法“上網”了，我就完成了一次欺騙ARP欺騙就是黑客在局域網內的欺騙，讓其他PC和路由器將IP對應到錯誤的MAC

    ARP的攻擊主要有以下幾種方式 ：

    ① 簡單的欺騙攻擊

    這是比較常見的攻擊，通過發送偽造的ARP包來欺騙路由和目標主機，讓目標主機認為這是一個合法的主機，便完成了欺騙這種欺騙多發生在同一網段內，因為路由不會把本網段的包向外轉發當然實現不同網段的攻擊也有方法，便要通過ICMP協議來告訴路由器重新選擇路由