ARP原理

前言

ARP攻击是通过伪造IP地址和MAC地址来实现ARP欺骗。它可以在网络中产生大量的ARP流量并阻塞网络。攻击者只要不断发出伪造的ARP响应报文，就可以改变目标主机的ARP缓存。网络中的IP-MAC表项，导致网络中断或中间人攻击。 ARP攻击主要存在于局域网中。如果局域网中的一台计算机感染了ARP木马，则感染ARP木马的系统会尝试通过“ARP欺骗”拦截网络中其他计算机的通信信息，从而造成网络损坏。计算机内与其他计算机通讯失败。

ARP协议

1。环境准备

1。准备kali虚拟机（原理演示机）IP：192.168.110.26

2。准备centos7虚拟机（目标机）IP：192.168.110.13

2。 ARP协议工作原理

什么是ARP

地址解析协议，即ARP（地址解析协议），是一种根据IP地址获取物理地址的TCP/IP协议。

如何运作

ARP协议规定每台计算机都需要一张ARP表来保存IP地址和MAC地址的映射关系。当访问IP地址时，通过查看ARP表查找对应的MAC地址。

如果 ARP 表中没有匹配项，将以广播方式发送 ARP 请求。目标主机收到请求后，会以单播方式返回ARP响应，告知其MAC地址。

获取到MAC地址后，会将映射关系缓存在ARP表中，然后传递到数据链路层进行解析和转换。

3。 ARP协议的作用

网络中的数据传输依赖于MAC地址而不是IP地址。 ARP协议负责将IP地址转换为MAC地址。

ARP协议的主要工作是创建、查询、更新和删除ARP表项。

4。 ARP常用命令

1. 查询arp表：

 arp -a

2。删除表中的IP

arp -d IP

我们删除IP 239.255.255.250：

然后我们通过arp -a查看，发现239.255.255.250消失了：

3 {IMG_3：Ahr0Chm6ly9iBg9nltezmdu1MDQWNJMUY29ZLMFWLWLWPPBMCUBXLXY2XVDWQUY29tl2QYNTQ3LWEZNMETMTFLTVJZWEXZDG0M jamyy5wbmc =/}

3.tcp捕获某个网卡的所有arp请求

tcpdump -i eth0 -nn arp

4.tcp抓取指定IP的请求

 tcpdump -i eth0 -nn arp 和主机IP

​

5。 ARP工作流程演示

在centos7上通过抓包来了解arp的工作过程：

1。首先通过kali检查本机是否有mac地址IP·:192.168.110.13

arp -a
如果存在则先删除
arp-dIP

然后我们用这个命令删除kali机器arp表中存储的centos7 arp信息

2。在kali机器上执行，监听来自192.168.110.13IP的所有arp请求

tcpdump -i eth0 -nn arp 或 tcpdump -i eth0 -nn arp 和主机 192.168.110.13

6 {IMG_6: Ahr0Chm6ly9ibg9nltezmdu1MDQWNJMUY29ZLMFWLWJLAWPPBMCUBXLXY2XVDWQZDHZNDHMZLWEZLZC1Inzgzgzgzdg0mj Awyy5wbmc =/}

3。然后我们打开一台kali机器的终端，ping一下IP，这样两台机器就可以通信了。只有两台机器通信时才会绑定arp

平192.168.110.13

7 {IMG_7: Ahr0Chm6ly9ibg9nltezmDQWNJMUY29ZLMFWLWLWLWPPBMCUBXLXY2XVDWQZODHLLLLLZC1HMZZWEXZDG0M jamyy5wbmc =/}

4。查看抓包结果，看看arp绑定过程

06:07:58.827256 ARP，请求谁拥有192.168.110.13告诉192.168.110.26，长度28
这句话的意思是，192.168.110.13是谁？请将您的mac地址告诉192.168.110.26

06:07:58.827858 ARP，回复 192.168.110.13 is-at 00:0c:29:90:e6:8d，长度 46
这句话的意思是，我是192.168.110.13，我的mac地址是：00:0c:29:90:e6:8d

5。查看最新的ARP表，看看mac地址是否绑定了

arp -a

9 {IMG_9: Ahr0Chm6ly9ibg9nltezmdu1MDQWNJMUY29ZLMFWLWLWPBMCUBXLXY2XVDWQUY2Q0MWNDQYLWEZC04ody3LTVJZWEXZDG0M jamyy5wbmc =/}

6。 ARP 请求会自动连续发送。计算机将进行通信以执行以下过程

1。主动询问该网段下IP的MAC地址

2。主动告诉别人我的IP和MAC地址

3。根据响应结果实时更新ARP表的绑定关系

6。总结

1。 ARP协议负责将IP地址转换为MAC地址，或者说ARP协议负责将IP地址和MAC地址进行绑定。

2。 ARP协议的主要工作是创建、查询、更新和删除ARP表项。

3。 ARP 的特点：轮询和响应总是在无需人工干预的情况下进行