Labs 導讀

在我們平時發(fā)現(xiàn)上不了網的時候，或者剛剛配置好一臺電腦的時候，有一個習慣就是ping，對于ping相信讀者都比較熟悉，就是給你要ping的地址發(fā)送ICMP探測報文，看看這個目的地是否可達。對于網絡的分層，讀者應該或多或少有所了解，比如數(shù)據(jù)鏈路層、網絡層、傳輸層、應用層，IP數(shù)據(jù)網絡層，MAC屬于數(shù)據(jù)鏈路層，完整的以太報文在網絡中傳輸?shù)臅r候，是攜帶MAC地址的，當你去ping某個地址的時候，比如ping 114.114.114.114，你可以知道IP，但你并不知道MAC地址。

Part 01、  ARP簡介 

ARP，是地址解析協(xié)議（Address Resolution Protocol）。其基本功能為根據(jù)設備的IP地址來查詢對應MAC地址的協(xié)議。主機通過ARP查詢到MAC地址后，將在ARP緩存表中增加映射表項，即IP地址和MAC地址的映射表項，也就是我們常說的ARP表項。

ARP是一種常見又十分重要的協(xié)議，比如網絡掃描、內網滲透、局域網流控、流量欺騙等都跟ARP脫不了干系。聽上去這么重要的協(xié)議，說簡單也簡單，整個ARP完整交互過程僅需要兩個報文搞定，一問一答。但是ARP協(xié)議本身也有令人迷惑的地方，由ARP本身延伸出來很多概念，比如動態(tài)ARP、靜態(tài)ARP、免費ARP、代理ARP等等。

在深入到技術原理之前，我們先看下面三句話：

1、知道IP即可

一般情況下，上層應用程序更多關心IP地址而不關心MAC地址，而且我們平時接觸更多的也是IP地址，只要知道了IP地址，我們可以通過協(xié)議來獲取通信所需的MAC地址，完成數(shù)據(jù)封裝，這就是ARP協(xié)議的作用。

2、IP--->MAC的映射

ARP（Address Resolution Protocol）即地址解析協(xié)議， 用于實現(xiàn)從IP地址到MAC地址的映射，即詢問目標IP對應的MAC地址。

3、逐層封裝到鏈路層

在網絡通信中，主機和主機通信的數(shù)據(jù)包需要依據(jù)OSI模型從上到下進行數(shù)據(jù)封裝，當數(shù)據(jù)封裝完整后，再向外發(fā)出。所以在局域網的通信中，不僅需要源目IP地址的封裝，也需要源目MAC的封裝。

Part 02、ARP基本原理 

以我們平時最簡單的一個ping的流程來切入：

主機A ping主機B為例，ping過程在網絡中需要構造ICMP報文，ICMP報文簡單來說就是MAC頭+IP頭+ICMP頭，其中，MAC頭中包含源MAC、目的MAC地址信息以及以太網協(xié)議類型（IPv4協(xié)議族的類型值為0x0800）。IP頭中主要包含源IP地址、目的IP地址、協(xié)議類型（這個協(xié)議類型主要指的傳輸層協(xié)議類型，比如UDP是17，TCP是6，ICMP是1）。ICMP頭中是一些控制面的信息，比如type代表是ARP請求還是ARP應答等等。

ARP請求和應答的過程如下圖所示：

我們分幾個步驟來簡單的描述上圖中所示的ARP報文協(xié)議流程：

• 為何要發(fā)送ARP

當在主機A命令行中敲入ping x.x.x.x（x.x.x.x為主機B的地址）的時候，系統(tǒng)會獲取到目的IP（x.x.x.x），源IP（主機A的IP），ping字段代表要發(fā)送ICMP報文，要送入ICMP協(xié)議棧，所以以太網協(xié)議類型0x8000（代表IPv4）和IP頭中的協(xié)議類型1（代表ICMP）也確定了，所以IP頭的信息完整可以構造了，但是沒有MAC頭信息，所以在協(xié)議棧中封裝完IP頭后，封裝MAC頭前，主機A根據(jù)主機B的IP地址IP2去自己的ARP表中查詢主機B的MAC，發(fā)現(xiàn)沒有，說明要么沒有發(fā)生過交互（如果發(fā)生過一次完整的ARP交互，會記錄映射信息），要么就是發(fā)生過但是已經老化了（ARP表項每隔一段時間會老化），所以需要發(fā)送ARP請求給主機B。

• 發(fā)送的ARP報文是什么樣子

ARP請求報文簡單來說就是在網絡中發(fā)送一幀廣播報文，目的MAC為全F，內層封裝中有自身的IP、MAC信息，以及請求目標的IP地址，同一廣播域中的交換機收到全F的廣播報文后，會在該廣播域內廣播。ARP報文格式如圖所示：

圖片

• 接收者收到之后會怎樣

其他主機也會收到該廣播報文，但是發(fā)現(xiàn)請求的不是自己的地址則不會做出回應，主機B收到之后，發(fā)現(xiàn)是請求自己的MAC地址，首先會將發(fā)起方（主機A）的IP和MAC的映射關系存入自身的ARP表項（簡單來說，ARP請求首先要有自我介紹，然后才是詢問），同時構造ARP應答報文發(fā)送到網絡中。

• 接收者發(fā)送的是什么報文

因為主機A在發(fā)送ARP請求的時候，走的是二層轉發(fā)，二層轉發(fā)需要MAC地址轉發(fā)，所以交換機并不知道目的MAC地址該往哪里去，只能在發(fā)送端（主機A）發(fā)送廣播報文，但是當主機B回復ARP應答的時候，已經知道了主機A的MAC地址，所以只需要發(fā)送單播報文就可以了，這就是為什么ARP請求是廣播報文，ARP應答是單播報文。ARP應答報文如圖所示：

圖片

當然，如果在第一步，主機A查詢自身ARP表項發(fā)現(xiàn)能夠查到主機B的IP對應的MAC地址時，就不需要再發(fā)送ARP請求了，因為已經知道了MAC地址，直接封裝二層頭，然后發(fā)送完整的ICMP報文出去就可以了。

Part 03、  ARP表項 

前面提到過，主機中會存一個IP地址和MAC地址的映射關系表，這就是ARP表項，因為如果每次主機A和主機B通信前都要發(fā)送一個廣播的ARP請求報文，會極大的增加網絡負擔。而且同廣播域的所有設備都需要接收和處理這個廣播的ARP請求報文，也極大的影響了網絡中設備的運行效率。

為了解決以上問題，每臺主機或設備上都維護著一個高速緩存，這是ARP高效運行的一個關鍵。在這個高速緩存中，存放主機或設備最近學習到的IP地址到MAC地址的映射關系，即動態(tài)ARP表項。主機或設備每次發(fā)送報文時，會先在本地高速緩存中查找目的IP地址所對應的MAC地址。如果高速緩存中有對應的MAC地址，主機或設備不會再發(fā)送ARP請求報文，而是直接將報文發(fā)至這個MAC地址；如果高速緩存中沒有對應的MAC地址，主機或設備才會廣播發(fā)送ARP請求報文，進行ARP地址解析。

前面在ARP基本原理中反復提到過ARP表項，那么前面所說由ARP報文交互流程而學習到的ARP表項稱之為動態(tài)ARP表項，通過靜態(tài)配置生成的ARP表項稱之為靜態(tài)ARP表項。靜態(tài)ARP表項的優(yōu)點是配置上之后，不需要再發(fā)送ARP報文了，可以節(jié)省網絡開銷，缺點是如果對端的信息發(fā)生變化，這條表項就失去意義了。

一方面由于高速緩存的容量限制，另一方面為了保證高速緩存中ARP表項的準確性，設備會對動態(tài)ARP表項進行老化和更新。

動態(tài)ARP表項的老化參數(shù)有：老化超時時間、老化探測次數(shù)和老化探測模式。設備上動態(tài)ARP表項到達老化超時時間后，設備會發(fā)送老化探測報文（即ARP請求報文），如果能收到ARP應答報文，則更新該動態(tài)ARP表項，本次老化探測結束；如果超過設置的老化探測次數(shù)后仍沒有收到ARP應答報文，則刪除該動態(tài)ARP表項，本次老化探測結束。

Part 04、 靜態(tài)ARP 

前文也提到過靜態(tài)ARP，這里詳細介紹一下靜態(tài)ARP。靜態(tài)ARP表項在網絡中也有著重要作用，比如某些流程中，不想通過觸發(fā)ARP報文或者不允許觸發(fā)ARP報文來學習鏈路層地址，則可以通過配置靜態(tài)ARP表項來實現(xiàn)，配置完靜態(tài)ARP表項之后，當協(xié)議棧在需要封裝鏈路層信息的時候，不會發(fā)起ARP請求流程，而是直接從ARP表項中拿到對應的MAC地址，封裝完成直接發(fā)出去。另外靜態(tài)ARP表項在應對ARP攻擊的時候也有重要作用。

靜態(tài)ARP表項分為長靜態(tài)ARP表項和短靜態(tài)ARP表項。

? 長靜態(tài)ARP表項：手動建立IP和MAC間的映射關系，并同時指定該ARP表項所在出接口。長靜態(tài)ARP表項可以直接用于報文轉發(fā)。

? 短靜態(tài)ARP表項：手動建立IP和MAC間的映射關系，未同時指定出接口。如果出接口是處于二層模式的以太網接口，短靜態(tài)ARP表項不能直接用于報文轉發(fā)。當需要發(fā)送報文時，設備會先發(fā)送ARP請求報文，如果收到的ARP應答報文中的源IP和源MAC與所配置的IP和MAC相同，則將收到ARP應答報文的接口加入該靜態(tài)ARP表中，后續(xù)設備可直接用該靜態(tài)ARP表項轉發(fā)報文。

Part 05、 結語 

ARP協(xié)議非常重要并且常用，是數(shù)據(jù)通信的入門協(xié)議，在網絡中扮演著十分重要的角色，但就是這么一個關鍵角色，卻十分不安全， 因為ARP協(xié)議是建立在網絡中各個主機相互信任的基礎上的，一旦有人利用這份信任，向某一主機發(fā)送偽ARP應答數(shù)據(jù)包，使該主機發(fā)送的信息無法到達預期的目的地或者走向錯誤的目的地，就是所謂的ARP欺騙或者ARP攻擊。

ARP欺騙或者攻擊可以導致目標主機與網關通信失敗，也會讓報文更改方向，所有的數(shù)據(jù)都會流入攻擊者的主機中，造成數(shù)據(jù)外泄，影響安全。

當然，使用一些防范ARP攻擊的殺毒軟件可以提高一定的安全性，或者可以通過減少過期時間、建立靜態(tài)ARP表項等手段去提高網絡安全性。