ARP协议详解

标签：ARP 协议 表项 IP 报文 arp MAC 详解

目录

一、ARP的特点

二. ARP的作用：将IP地址解析以太网的MAC地址

三. 数据报文封装

四. ARP解析过程

1. 同网段的通信

2. 不同网段通信

五. ARP缓存(表项)

六.ARP数据报文结构

七.免费ARP(Target IP和Sender IP相同)

1. 免费ARP的作用：

2. 免费ARP报文学习功能的作用：

3. 定时发送免费ARP功能的作用

4. IP冲突的条件：

八. 代理ARP(Proxy ARP)

代理ARP使用的场景

静态路由出接口与下一跳IP的区别

九. ARP攻击类型

1. 设备正常情况下的ARP表项

2. ARP表(ARP攻击)的变化

3. 理解Invalid

4. ARP表项的Age字段

5. ARP协议的缺陷

6. ARP攻击类型

十. ARP的快速应答机制

十一. ARP Snooping

十二. ARP防范技术

1. 接入设备攻击防范

2. 网关设备攻击防范

---

talk about the Address Resolution Protocol？

1：首先，每个主机都会在自己的ARP缓冲区中建立一个ARP列表，以表示IP地址和MAC地址之间的对应关系。

2：当源主机要发送数据时，首先检查ARP列表中是否有对应IP地址的目的主机的MAC地址，如果有，则直接发送数据，如果没有，就向本网段的所有主机发送ARP数据包，该数据包包括的内容有：源主机IP地址，源主机MAC地址，目的主机的IP地址。

3：当本网络的所有主机收到该ARP数据包时，首先检查数据包中的IP地址是否是自己的IP地址，如果不是，则忽略该数据包，如果是，则首先从数据包中取出源主机的IP和MAC地址写入到ARP列表中，如果已经存在，则覆盖，然后将自己的MAC地址写入ARP响应包中，告诉源主机自己是它想要找的MAC地址。

4：源主机收到ARP响应包后。将目的主机的IP和MAC地址写入ARP列表，并利用此信息发送数据。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。

注意：广播发送ARP请求，单播发送ARP响应。

一、ARP的特点

1. 可能是网络中发出的第一个包——在静态配置IP的前提下

2. ARP是其他协议的辅助协议

二. ARP的作用：将IP地址解析以太网的MAC地址

        在局域网中，当主机或其它网络设备有数据要发送给另一个主机或设备时，它必须知道对方的网络层地址，仅仅有 IP 地址是不够的，因为IP数据报文必须封装成帧才能通过物理网络发送，因此发送站还必须有接收站的物理地址，所以需要一个从 IP 地址到物理地址的映射。

三. 数据报文封装

1. 目的MAC

• 手动：静态绑定ARP

• 自动：ARP

2. 源MAC

• 手动：手动绑定

• 自动：BIA(产商分配)

3. 源IP

• 手动：静态配置

• 自动：DHCP获取

4. 目的IP

• 手动：Ping、Telnet、Traceroute

• 自动：DNS

5.Data

6.FCS

四. ARP解析过程

1. 同网段的通信

        将自身的源IP与自己掩码相与，再将目的IP与自己掩码相与，再进行异或，判断是不是同一个网段，若为同网段，主机A会先查看目的IP所对应的ARP表项。（两次相与，一次异或）

1. 若有B对应的ARP表项

   1. 主机A直接利用表中目的IP对应的MAC地址，直接对IP数据包进行帧封装，并将数据包转发给主机B

2. 若无B对应的ARP表项

   1. 主机A发送arp request广播报文，源mac为0002-6779-0f4c，目的mac为全F的mac地址，sender ip为192.168.1.1，sender mac为0002-6779-0f4c， target ip为192.168.1.2，在本地生成target mac为全0的mac地址临时条目

   2. 主机B收到arp request报文，发现target ip是自己接口的ip，发送一个arp reply报文，并且通过arp request报文中的sender ip和sender mac来更新自己的arp 表项

   3. 主机A收到arp reply报文，更新自己的临时表项，发现target ip是自己接口的ip，并且自身arp缓存表中存在相应的arp请求信息，并且通过arp reply报文中的 sender ip和sender mac来更新自己的arp表，同时将数据包进行二层封装后发送出去

        ➢ ARP Reply以单播的形式发送的原因：通过报文中的字段自学习，生成发送方对应的ARP表项，回包时可以通过对应的字段信息单播发送至发送方

        ➢ ping的第一个丢包的原因：在缓冲区中Ping的超时时间大于ARP的超时时间(ARP的超时时间是发起ARP请求到ARP回应后，更新完本地ARP表项的时间)

2. 不同网段通信

1. PC1先将目标IP与自身的掩码相与，发现该网段与自身的网段不同，并且自身arp表中无网关缓存条目，以发送一个arp request 广播报文，请求网关的mac地址，并且在本机的arp缓存中生成一条mac全0的临时条目

   1. 目的MAC：ff:ff:ff:ff:ff:ff

   2. 源MAC：aaa

   3. Sender IP：192.168.1.10

   4. Sender MAC：aaa

   5. Target IP：192.168.1.1

   6. Target MAC：00:00:00:00:00:00

2. 路由器收的arp request的广播报文，发现target IP是自己接口的IP，回应一个arp reply的单播报文，通过arp request报文中的sender ip和sender mac，通过sender ip 和sender mac更新自己的arp表

   1. Sender IP：192.168.1.1

   2. Sender MAC：ccc

   3. Target IP：192.168.1.10

   4. Target MAC：aaa

3. PC1收到arp reply报文，发现target ip是自己接口的ip，并且自己arp缓存表中有该相应的arp 的请求信息，并且通过arp reply报文中的sender ip和sender mac来更新自己的arp表，根据arp表项封装完ICMP报文的目的MAC字段，然后开始发送ICMP的请求报文

   1. 目的MAC：ccc

   2. 源MAC：aaa

   3. 源IP：192.168.1.10

   4. 目的IP：192.168.2.10

4. 路由器收到ICMP请求报文，根据MAC地址表查目的MAC是网关接口的MAC，解封装该报文，根据目的ip查找本地的路由表，发现是直连路由，但是本地的arp表中无 PC2的mac地址，然后发送arp request广播报文，并在本地的arp缓存中生成一条mac全0的临时条目

   1. 目的MAC：ff:ff:ff:ff:ff:ff

   2. 源MAC：ddd

   3. Sender IP：192.168.2.1

   4. Sender MAC：ddd

   5. Target IP：192.168.2.10

   6. Target MAC：00:00:00:00:00:00

5. PC2收到arp request报文后，发现target ip是自己接口的ip，发送一个arp reply单播报文，并且根据arp request中的sender ip和sender mac来更新自己的arp表

   1. 目的MAC：ddd

   2. 源MAC：bbb

   3. Sender IP：192.168.2.10

   4. Sender MAC：bbb

   5. Target IP：192.168.2.1

   6. Target MAC：ddd

6. 路由器收到arp reply报文，发现target ip是自己的ip，通过arp request报文中的sender ip和sender mac来更新自己的arp表，根据arp表项封装完ICMP报文的目的 MAC字段，开始发送去往PC2的ICMP请求报文

   1. 目的MAC：bbb

   2. 源MAC：ddd

   3. 源IP：192.168.2.10

   4. 目的IP：192.168.1.10

7. PC2收到报文后，根据MAC地址表查目的MAC是网关接口的MAC，解封装该报文，发现目的ip是自己，接受该报文，发送ICMP的回应报文，源ip与自己的掩码相与，发现与自己是不同网段，所以要把该报文发给网关，通过自己的arp表中的条目来封装二层头部，并发送该报文

   1. 目的MAC：ddd

   2. 源MAC：bbb

   3. 源IP：192.168.2.10

   4. 目的IP：192.168.1.10

8. 路由器收到ICMP回应报文，解封装该报文，发现目的ip不是自己，查路由表发现是直连网段，并且arp表中有PC1的条目，根据arp表来封装ICMP报文并从直连接口发送出去

   1. 目的MAC：ddd

   2. 源MAC：bbb

   3. 源IP：192.168.2.10

   4. 目的IP：192.168.1.10

9. PC1收到ICMP的回应报文，解封装该报文，发现目的ip是自己，并接收该报文

        ➢ 不同网段，要进行两次的ARP六部。一次路由，多次交换。源目ip不变，源目MAC逐跳变，ARP辅助路由打通下一跳

五. ARP缓存(表项)

1. 动态ARP表项：动态 ARP 表项由ARP协议通过ARP报文自动生成和维护，可以被老化，可以被新的 ARP 报文更新，可以被静态 ARP 表项覆盖，当到达老化时间、接口 down 时会删除相应的动态ARP表项(缺省老化时间120s)

2. 静态ARP表项：静态ARP表项通过手工配置和维护，不会被老化，不会被动态ARP表项覆盖

六.ARP数据报文结构

1. ARP协议的广播为目的MAC为全F的MAC地址，全0的为MAC的未指定的临时条目

七.免费ARP(Target IP和Sender IP相同)

1. 免费ARP的作用：

1. 防止地址冲突：在主机使用一个IP地址之前，将会发送免费ARP来确保网络中的地址不发生冲突

2. 刷新ARP表：当地址不发生冲突时，免费ARP将会在网络中广播自己的IP与MAC的对应关系，让其他终端通过该免费ARP来更新自己的ARP表项

2. 免费ARP报文学习功能的作用：

判断ARP表中是否存在与此免费ARP报文源地址对应的ARP表项。

1. 存在对应的ARP表项：设备会根据该免费ARP报文中携带的信息更新对应的ARP表项

2. 不存在对应的ARP表项：设备会根据该免费ARP报文中携带的信息新建ARP表项

3. 定时发送免费ARP功能的作用

1. 防止仿冒网关的ARP攻击

2. 防止主机ARP表项老化

3. 防止VRRP虚拟IP地址冲突

4. 及时更新模糊终结VLAN内设备的MAC 地址表

4. IP冲突的条件：

收到ARP报文中的Sender ip和Target IP一样，Sender MAC和Target MAC不一样

八. 代理ARP(Proxy ARP)

1. 本质：ARP欺骗

2. 触发代理的条件

1. 本地有去往目的IP的路由

2. 接口不同(路由的出接口与收到ARP请求的接口不是同一个接口)

3. 普通代理ARP

1. 启用代理 ARP 后，Router 可以应答 Host A 的 ARP 请求，同时，Router 相当于 Host B 的代理，把从其他主机发送过来的报文转发给它

2. 优点：可以只被应用在一个设备上(作用相当于网关)，不会影响到网络中其他设备的路由表，代理 ARP 功能可以在 IP 主机没有配置缺省网关或者 IP 主机没有任何路由能力的情况下使用

代理ARP使用的场景

1. 终端没有配置网关

   1. IP与掩码相与，发现是不同网段

   2. 查网关的ARP表项，发现无网关，(死马当活马医)

   3. 查找目的IP所对应的ARP表项，发现无该对应表项

   4. 发起ARP广播请求，此时的Target IP为目的IP

   5. 当路由器收到ARP请求报文，发现Target IP不是自己接口的IP

      1. 不开启代理ARP，丢弃该报文

      2. 开启代理ARP，查询自身的路由表，发现是直连路由，接收ARP请求报文的接口，和该路由器的出接口不是同一个接口

         • 将会回应ARP应答报文，该ARP报文的Sender MAC为路由器接收到该ARP广播请求报文的接口的MAC地址

2. 掩码配置错误(以192.168.1.2/16 ping 192.168.2.2/24为例)

   1. 将自身IP与自身的掩码相与，再将目的IP与自身掩码相与，发现是相同网段

   2. 查目的IP的ARP表发现为无该表项

   3. 发送ARP广播请求，Target IP为目的IP

   4. 当路由器收到ARP请求报文，发现Target IP不是自己接口的IP

      1. 不开启代理ARP，丢弃该报文

      2. 开启ARP代理，查询自身的路由表，发现是直连路由，接收ARP请求报文的接口，和该路由器的出接口不是同一个接口

▪ 将会回应ARP应答报文，该ARP报文的Sender MAC为路由器接收到该ARP广播请求报文的接口的MAC地址

静态路由出接口与下一跳IP的区别

出接口：

        不开启代理ARP：无法通信

        开启代理ARP：若在出口路由器上，公网IP地址是多种多样的，每一次上网，都会在出口路由器上进行ARP的解析，导致ARP表中的条目过多，对设备CPU和表项压力过大，表项过多，当ARP表被占满，就无法生成新的表项，导致无法上网

下一跳IP：

        无论有多少个人上网，ARP请求只有一个

九. ARP攻击类型

1. 设备正常情况下的ARP表项

        (1) 终端设备上的正常的ARP表项：1+n形式(网关的ARP表项与同网段内其他主机的ARP表项)，最少情况下只有一个表项(网关)

2. ARP表(ARP攻击)的变化

1、ARP Request报文更新ARP表的条件(自学习)

满足条件：

• 收到的ARP报文的Target IP为自己

• 用ARP报文中的Sender MAC和Sender IP来更新自己的ARP表

• 攻击方式的条件比较简单

2、ARP Reply报文更新ARP表的条件(更新临时条目)

满足条件：

• 收到的ARP报文中Target IP为自己

• ARP表中存在Sender IP的表项

• 用ARP报文中的Sender MAC和Sender IP来更新自己的ARP表

3、免费ARP报文更新ARP表的条件(通知网络中所有的主机更新ARP表项)

满足条件：

• 当前ARP表中已存在Target IP/MAC表项

• 用ARP报文中的Sender MAC和Sender IP来更新自己的ARP表

• 实现一对多的攻击

3. 理解Invalid

1. Invalid ARP表项：ARP表中存在大量的MAC地址为全0或No Completed

   1. 若在网关设备上存在大量该临时条目，则为跨网段扫描

   2. 若在终端设备上看到大量该临时条目，则为同网段扫描

2. Invalid的产生原因：发起ARP Request，为接收ARP Reply做准备

4. ARP表项的Age字段

1. Forever：SVI/三层口，本地拥有的，有IP/MAC的对应关系，不会被老化

2. 静态：时间无法被老化

3. 动态(0-60：arp条目的存活时间)：在0-60这个过程中，若收到ARP Request/Reply或免费ARP时，会被重新刷新回0

4. <--->：临时条目

5. ARP协议的缺陷

1. ARP的三种工作方式(基本功能无法修改)

   1. 自学习

   2. 更新临时条目

   3. 通知网络中的所有主机更新ARP表项(免费ARP)

6. ARP攻击类型

1. 仿冒网关攻击

   1. 通过向其他主机发送伪造的网关ARP报文，导致其他主机记录错误的网关地址映射关系，导致正常的数据不能被网关所接收

2. 仿冒用户攻击

   1. 欺骗网关：一台不合法主机仿冒合法主机向网关发送了伪造的ARP报文，导致网关ARP表项中存在不合法主机的映射关系，从而正常的数据报文不能被合法的主机接收

   2. 欺骗用户：一台不合法主机仿冒合法主机向另一台合法主机发送了伪造的ARP报文，导致另一台合法主机的ARP表项中记录错误的合法主机的映射关系，从而正常的数据报文不能被合法的主机接收

3. 泛洪攻击

   1. 通过伪造大量源IP地址变化的ARP报文，使设备ARP表溢出，合法用户的ARP报文不能生成有效的ARP表项，导致正常通信中断

4. 伪造的ARP报文的特点

   1. Sender MAC/Target MAC和以太网帧封装中的Sender MAC/Target MAC不一致

   2. Sender IP和Sender MAC的映射关系不合法

5. ARP欺骗攻击

   1. 判断是否为网关型欺骗：ARP表中一个MAC对应多个IP

   2. ARP欺骗的目的

      1. 表象：网络通讯中断

      2. 真实目的：截取网络通讯数据

   3. 如何判断为ARP欺骗？

      1. 网络时断时续或网速特别慢

      2. arp -d 就能好像上一会

      3. arp -a MAC地址发生改变

   4. ARP欺骗的应付手段

          ▪ DAI为动态ARP检测，网关通过DHCP Snooping确保网关ARP表项的正确性，即防止网关型的ARP欺骗

          ▪ PVLAN的Isolate vlan方式将主机之间的通讯隔离，防止主机型的ARP欺骗

          ▪ 网关设备和接入设备必须同时支持相应的功能，同时主机间不能互访，致使多局域网通讯失效

      1. 静态表项

      2. ARP防火墙

      3. PVLAN+DAI

   5. 防止ARP欺骗的思路

                           安全地址(前提)    定义：

                                  主机的真实信息

                                  IP+MAC组成

    获取方式：

1. 手动指定

   1. port-security

                处理流程：

      • 当一个未知IP头部的二层报文经过port-security端口时，检验其源MAC部分与配置安全MAC是否一致

      • 当一个带IP头部的报文经过port-security端口时

        • 检验其源MAC部分与配置安全MAC是否一致

        • 检验源IP是否与配置安全IP一致

2. 自动获取

   1. DHCP Snooping

   2. Dot1X

        ➢ ARP报文校验(手段)

          DAI(动态ARP检测)：Sender字段跟安全地址是否相同

                相同：转发

                不同：丢弃

十. ARP的快速应答机制

1. 设备接收到ARP请求报文时，如果请求报文的目的IP地址是设备的SVI的IP地址，则由ARP特性进行处理

2. 如果ARP请求报文的目的IP地址不是SVI虚接口的IP地址，则根据报文中的目的 IP 地址查找DHCP Snooping表项

1. 如果查找成功，但是查找到的表项的接口和收到请求报文的接口一致，并且接口是以太网接口，则不进行应答，否则立即进行应答

2. 如果查找失败，则继续查找 ARP Snooping 表项，如果查找成功，但是查找到的表项的接口和收到请求报文的接口一致，并且接口是以太网接口，则不进行应答，否则立即进行应答

3. 如果两个表均查找失败，则直接转发请求报文或将报文交于其他特性处理

十一. ARP Snooping

1. 工作机制：设备上的一个VLAN使能 ARP Snooping 后，该 VLAN 内所有端口接收的 ARP 报文会被重定向到CPU，CPU对重定向上送的ARP报文进行分析，获取 ARP报文的 IP地址、源MAC地址、源VLAN和入端口信息，建立记录用户信息的ARP Snooping 表项

2. 老化时间：25分钟

3. 有效时间：15分钟

4. ARP Snooping表项在最后一次更新后，15分钟内没有收到ARP更新报文，表项开始进入失效状态，不再对外提供服务

5. 当收到源 IP 地址和源 MAC与已存在的 ARP Snooping 表项 IP地址和 MAC 均相同的 ARP 报文时，此ARP Snooping表项进行更新，重新开始生效，并重新老化计时，当ARP Snooping 表项达到老化时间后，则将此 ARP Snooping 表项删除

6. 如果 ARP Snooping 收到 ARP 报文时检查到相同IP的ARP Snooping 表项已经存在，但是 MAC地址发生了变化，则认为发生了攻击，此时ARP Snooping 表项处于冲突状态，表项失效，不再对外提供服务，并在 25 分钟后删除此表

十二. ARP防范技术

1. 接入设备攻击防范

1. 针对仿冒网关攻击：对ARP报文的合法性进行检查，如果合法则进行后续处理，如果非法则丢弃报文

   1. ARP 过滤保护功能

   2. ARP 网关保护功能

   3. ARP Detection 功能：在VLAN下开启ARP Detecting，该VLAN受到的所有的ARP报文应答将被重定向到CPU进行报文的合法性和有效性检查，若合法则转发，反之，则丢弃

      1. ARP报文有效性检查

      2. 用户合法性检查

      3. ARP报文强制转发

2. 针对仿冒用户攻击：对ARP报文的合法性进行检查，如果合法则进行后续处理，如果非法则丢弃报文

   1. ARP 过滤保护功能

   2. ARP Detection 功能

3. 针对ARP泛洪攻击：ARP 报文限速功能

2. 网关设备攻击防范

1. 针对仿冒网关攻击

   1. 通过合法方式建立正确的 ARP 表项，并阻止攻击者修改

      1. 授权ARP功能

      2. ARP自动扫描和固化功能

      3. 配置静态ARP表项

   2. 动态学习 ARP 表项前进行确认，保证学习到的是真实、正确的映射关系

      1. ARP主动确认功能：启用ARP主动确认功能后，设备在新建或更新ARP表项前需进行主动确认，防止产生错误的ARP表项

      2. ARP 报文源 MAC 一致性检查功能

2. 针对ARP泛洪攻击

   1. 源MAC地址固定的ARP攻击检测功能

   2. 限制接口学习动态ARP表项的最大数目

   3. ARP防IP报文攻击功能

标签：ARP,协议,表项,IP,报文,arp,MAC,详解
From： https://blog.csdn.net/qq_62189139/article/details/144013278