如何更好的解决arp问题 arp基本知识

ARP定义

　　ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的底层协议，负责将某个IP地址解析成对应的MAC地址。

　　ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

　　ARP（AddressResolutionProtocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。

　　ARP攻击定义

　　ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。最早探讨ARP攻击的文章是由Yuri Volobue所写的《ARP与ICMP转向游戏》。

这样，可以采用以下的一些方法：

　　1）. 减少过期时间

　　#ndd –set /dev/arp arp_cleanup_interval 60000

　　#ndd -set /dev/ip ip_ire_flush_interval 60000

　　60000=60000毫秒 默认是300000

　　加快过期时间，并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的出现ARP请求和回复，请不要在繁忙的网络上使用。

　　2）. 建立静态ARP表

　　这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。

　　test.nsfocus.com 08:00:20:ba:a1:f2

　　user. nsfocus.com 08:00:20:ee:de:1f

　　使用arp –f filename加载进去，这样的ARP映射将不会过期和被新的ARP数据刷新，除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变，就必须手工刷新这个arp文件。这个方法，不适合于经常变动的网络环境。

　　3）．禁止ARP

　　可以通过ipconfig interface –arp 完全禁止ARP，这样，网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表，如果不在ARP表中的计算机 ，将不能通信。这个方法不适用与大多数网络环境，因为这增加了网络管理的成本。但是对小规模的安全网络来说，还是有效可行的。

//以下是对ARP的简单介绍如果想要进一步了解可以到ARP专题

http://netsecurity.51cto.com/art/200609/31897.htm

ARP（Address Resolution Protocol）地址解析协议，它是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层（TCP/IP协议的IP层，也就是相当于OSI 的第三层）地址（32位）解析为数据链路层（TCP/IP协议的MAC层，也就是相当于OSI的第二层）的MAC地址（48位）[RFC826]。ARP 协议是属于链路层的协议，在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP 地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。当然，点对点（如两台直联的计算机）的连接是不需要ARP协议的。为了解释ARP协议的作用，就必须理解数据在网络上的传输过程。这里举一个简单的ping例子。

假设我们的计算机A的IP地址是192.168.1.50，要测试与B机器的连通性，执行这个命令：ping 192.168.1.51。该命令会通过ICMP协议发送ICMP数据包。该过程需要经过下面的步骤：

1、应用程序构造数据包，该示例是产生ICMP包，被提交给内核（网络驱动程序）；

2、内核检查是否能够转化该IP地址为MAC地址，也就是在本地的ARP缓存中查看IP-MAC对应表；

3、如果存在该IP-MAC对应关系，那么数据包直接发出；如果不存在该IP-MAC对应关系，那么接续下面的步骤；

4、内核进行ARP广播，目的地的MAC地址是BB-BB-BB-BB-BB-BB，ARP命令类型为Request，其中包含有自己的MAC地址；（下面会讲到具体包格式）

5、当B主机接收到该ARP请求后，就发送一个ARP的Reply命令，其中包含自己的MAC地址；

6、B获得A主机的IP-MAC地址对应关系，并保存到ARP缓存中；

7、B内核将把IP转化为MAC地址，然后封装在以太网头结构中，再把数据发送出去；

使用arp -a命令就可以查看本地的ARP缓存内容，所以，执行一个本地的ping命令后，ARP缓存就会存在一个目的IP的记录了。当然，如果你的数据包是发送到不同网段的目的地，那么就一定存在一条网关的IP-MAC地址对应的记录。

知道了ARP协议的作用，就能够很清楚地知道，数据包的向外传输依靠ARP协议，当然，也就是依赖ARP缓存。要知道，ARP协议的所有操作都是内核自动完成的，同其他的应用程序没有任何关系。ARP协议并不只在发送了ARP请求才接收ARP应答。而ARP协议的固有缺陷就在这里，当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此， B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.1.52（C的IP地址），MAC地址是BB-BB-BB- BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP 缓存，将本地的IP-MAC对应表更换为接收到的数据格式，由于这一切都是A的系统内核自动完成的，A可不知道被伪造了。

某些病毒就是利用这个原理，向受害者发送源硬件地址为随机产生貌似来自网关的ARP应答包，于是在受害者缓存里，网关的IP是正确的，可对应的硬件地址却是错误的或者是中毒机器。该计算机向外发送的数据包总是发送到了错误的网关硬件地址上或是中毒机器。

而如果病毒想要截获某台机器上网的所有通信而不被察觉，只要同时再向网关发送冒充此机器的相应的数据包即可实现。

频繁出现地址冲突的现象

主机A在连接网络（或更改IP地址）的时候就会向网络发送ARP包广播自己的IP地址。如果网络中存在相同IP地址的主机B，那么B就会通过ARP来 reply该地址，当A接收到这个reply后，A就会跳出IP地址冲突的警告，当然B也会有警告。因此用如果病毒发出的是ARP的Request包就会使用户一直遭受IP地址冲突警告的困扰。

下面就以上分析做一个模拟病毒进行ARP攻击的行为的实验，了解此类病毒是如何产生危害的。

实验描述：此实验模仿ARP攻击的一种，机器不断提示地址冲突，运行变慢，无法上网的情况，其他情况可自行参考模拟

分析：不同病毒在中毒机器上运行，发送的ARP包是有一定的周期的，受影响的系统产生的开销不一。先模拟中毒机B以较大的发送频率发送到A机器上（未中毒），如系统内核处理会不断处理接到的ARP包，这时盗用者机器上会不断提示IP冲突, 则A机器上的系统开销将大大增加,很容易无法响应用户操作。而这一切由于ARP处于网络协议的底层，对一般防火墙等高层软件是透明的，盗用者无从察觉，只能看到机器不端弹出冲突信息，系统很快慢下来，最终没有任何响应。