技能竞赛-信息安全管理与评估-.ARP背景知识介绍.pptx

技能竞赛-信息安全管理与评估-

ARP基础知识

版权说明本文档来自张玉清作者的《网络攻击与防御技术》。若作者对本资料使用持有异议，请及时与本网站联系，我们将在第一时间妥善处理。

ARP地址解析协议，即ARP（AddressResolutionProtocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

ARP地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。

ARP基础知识ARP(AddressResolutionProtocol)：地址解析协议，用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）[RFC826]。属于链路层的协议。在以太网中，数据帧从一个主机到达局域网内的另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。

ARP基础知识ARP协议有两种数据包ARP请求包：ARP工作时，送出一个含有目的IP地址的以太网广播数据包，这也就是ARP请求包。它表示：我想与目的IP通信，请告诉我此IP的MAC地址。ARP请求包格式如下： arpwho-has192.168.1.1tell192.168.1.2ARP应答包：当目标主机收到ARP请求包，发现请求解析的IP地址与本机IP地址相同，就会返回一个ARP应答包。它表示：我的主机就是此IP，我的MAC地址是某某某。ARP应答包的格式如下： arpreply192.168.1.1is-at00:00:0c:07:ac:00

ARP基础知识ARP缓存表ARP缓存表用于存储其它主机或网关的IP地址与MAC地址的对应关系。每台主机、网关都有一个ARP缓存表。ARP缓存表里存储的每条记录实际上就是一个IP地址与MAC地址对，它可以是静态的，也可以是动态的。如果是静态的，那么该条记录不能被ARP应答包修改；如果是动态的，那么该条记录可以被ARP应答包修改。

ARP基础知识在Windows下查看ARP缓存表的方法使用命令：arp-a