ARP工作原理与欺骗技术研究 摘要：ARP协议是局域网协议中比较重要的一个协议,在局域网中，通信通过ARP协议来完 成IP地址转换为二层链路层物理地址（即MAC地址）,ARP协议对网络安全具有重要的意义。 但由于ARP协议设计时的一些缺陷，通过伪造IP地址和MAC地址实现ARP欺骗，对网络的 正常传输和安全都是一个很严峻的考验。本文分析了ARP的工作原理，介绍了ARP欺骗方法， 并探讨了防范ARP攻击的几种可行方案。 关键字：ARP协议ARP欺骗网络安全 1.ARP简介 ARP协议的全称为AddressResolutionProtocol，翻译成中文为地址解协议， 它工作在OSI七层协议模型的数据链路层。它的功能是实现主机IP地址和MAC 地址之间的映射关系。以太网中，每台主机都必须有一个IP地址，但是实际在 网络中传输的数据格式是“帧”，帧封装了源主机和目的主机的MAC地址，也 就是48位的硬件物理地址，以太网中的通信是通过MAC地址寻址来实现。通 信中通过目的主机的IP地址来找到的主机的MAC地址，这一过程就是由ARP 协议来实现的。每台安装有TCP／IP协议的电脑或网络设备中都有一个ARP缓 存表，表里的IP地址与MAC地址是一一对应的，主机地址到MAC地址的映射 关系存在于ARP缓存表中。下面对局域网的数据帧（表1）和ARP消息格式（表 2）进行简单介绍。 表1局域网数据帧格式 7166246~15004 前导码帧首定界符目的地址源地址类型IP数据报帧校验 类型字段表明以太网帧的类型，如果值为0x0806，则表示此帧为ARP帧， 此时IP数据包中存放的是完整的ARP数据包。 表2ARP消息格式 081632 HARDWAREADDRESSTYPEPROTOCOLADDRESSTYPE HADDRLENPADDRLENOPERATION SENDERHADDR(first4octets) SENDERHADDR(last2octets)SENDERPADDR(first2octets) SENDERPADDR(last2octets)TARGERHADDR(first2octets) 1 TARGERHADDR(last4octets) TARGERPADDR(all4octets) 其中，HARDWAREADDESSTYPE字段指的是硬件地址类型，值为1时表 示以太网地址。PROTOCOLADDRESSTYPE字段表示协议地址的类型，值为 0x0800时表示IP地址。HADDRLEN和PADDRLEN指硬件地址和协议地址的 长度，结合多个字段ARP协议就可以在任意硬件和任意协议的网络中运行了。 OPERATION字段为消息的类型，值为1为ARP请求，值2表示ARP应答消息。 最后几个字段分别是发送端硬件地址、发送端协议地址、目的端硬件地址和目的 端的协议地址。 2.ARP工作原理 在局域网通信中，主机每收到一个以太网帧，首先要检查目的地址，如果该 地址与本机的网卡物理地址相符，则说明这个数据是发给自己的，接收此帧，解 开封装的帧，将帧内IP数据报递交给网络层处理；如果目的物理地址不相符， 则丢到该帧。假设主机A和主机B进行通讯，下面为A和B进行通讯时ARP 的工作过程： (1)主机A检查自己缓存中的ARP列表，判断ARP列表中是否存有主机B 的IP地址与MAC地址映射关系。如果找到了，则完成ARP地址解析；则将主 机B的MAC地址封装进以太网帧进行通讯。否则，转下一步。 (2)主机A向局域网中所有的机器发出ARP广播请求报文，报文中包含自己 的IP地址和MAC地址，请求解析的主机B的IP地址。 (3)局域网中的所有计算机包括网关都收到该信息包，并将A的IP地址和 MAC地址映射关系保存到自己的ARP缓存表中，所有局域网的计算机中只有主 机B做出回应，主机B向A发送响应ARP信息报文，通知主机A自己的IP地 址与MAC地址映射关系。 (4)主机A收到B的响应帧后，将主机B的IP地址与MAC地址映射关系存 入到本机ARP列表中，从而完成了主机B的ARP地址解析。 (5)主机A获得主机B的MAC地址之后，就可以根据MAC地址进行以太 网帧的数据传送了。 ARP缓存表采用老化机制，在一段时间内如果表中的某行没有使用，就会 被删除，以确保其映射的正确性和实时性。一般每个映射关系的生命周期是10 2 分钟，但如果一个映射关系在2分钟内没有被使用，就会会被从ARP缓存表中 删除，即使一直被使用，它的最长生命也只是10分钟。 3.ARP欺骗原理 根据ARP的工作过程分析可以知道，ARP协议是建立在对所有局域网中主 机相互信任的基础上，某台主机只要接收到ARP数据包，它就会对自己的ARP 缓存表