什么是ARP

分类: 电脑/网络 >> 反病毒

问题描述:

详细点可以吗？

解析:

这里没法看，如果你想看的话，就到这里来：130/CMS/Pub/neork/neork_protocal/20201

ARP协议概述

IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。

ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信。

如果有一个不被信任的节点对本地网络具有写访问许可权，那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些机器，或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上， ARP映射可以用固件，并且具有自动抑制协议达到防止干扰的目的。

图1 以太网上的ARP报文格式

图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位，也就是4个八位组表示，在以后的图中，我们也将遵循这一方式。

硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1。协议类型字段指明了发送方提供的高层协议类型，IP为0806（16进制）。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用。 *** 作字段用来表示这个报文的目的，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4。

当发出ARP请求时，发送方填好发送方首部和发送方IP地址，还要填写目标IP地址。当目标机器收到这个ARP广播包时，就会在响应报文中填上自己的48位主机地址。

2 ARP使用举例

我们先看一下linux下的arp命令(如果开始arp表中的内容为空的话,需要先对某台主机进行一个连接,例如ping一下目标主机来产生一个arp项)：

d2server:/home/kerberos# arp

Address HWtype HWaddress Flags Mask Iface

21116117254 ether 00:04:9A:AD:1C:0A C eth0

Address：主机的IP地址

Hwtype：主机的硬件类型

Hwaddress：主机的硬件地址

Flags Mask：记录标志，"C"表示arp高速缓存中的条目，"M"表示静态的arp条目。

用"arp --a"命令可以显示主机地址与IP地址的对应表，也就是机器中所保存的arp缓存信息。这个高速缓存存放了最近Inter地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为20分钟，起始时间从被创建时开始算起。

d2server:/home/kerberos# arp -a

(21116117254) at 00:04:9A:AD:1C:0A [ether] on eth0

可以看到在缓存中有一条21116117254相对应的arp缓存条目。

d2server:/home/kerberos# tel 2111611721

Trying 2111611721

Connected to 2111611721

Escape character is '^]'

^]

tel>quit

conion closed

在执行上面一条tel命令的同时，用tcpdump进行监听：

d2server:/home/kerberos# tcpdump -e dst host 2111611721

tcpdump: listening on eth0

我们将会听到很多包，我们取与我们arp协议相关的2个包：

1 00 00:D0:F8:0A:FB:83 FF:FF:FF:FF:FF:FF arp 60

who has 2111611721 tell d2server

2 0002344(00021) 00:E0:3C:43:0D:24 00:D0:F8:0A:FB:83 arp 60

arp reply 2111611721 is at 00:E0:3C:43:0D:24

在第1行中，源端主机（d2server）的硬件地址是00:D0:F8:0A:FB:83。目的端主机的硬件地址是FF:FF:FF:FF:FF:FF，这是一个以太网广播地址。电缆上的每个以太网接口都要接收这个数据帧并对它进行处理。

第1行中紧接着的一个输出字段是arp，表明帧类型字段的值是0x0806，说明此数据帧是一个ARP请求或回答。

在每行中，单词后面的值60指的是以太网数据帧的长度。由于ARP请求或回答的数据帧长都是42字节（28字节的ARP数据，14字节的以太网帧头），因此，每一帧都必须加入填充字符以达到以太网的最小长度要求：60字节。

第1行中的下一个输出字段arp who-has表示作为ARP请求的这个数据帧中，目的I P地址是2111611721的地址，发送端的I P地址是d2server的地址。tcpdump打印出主机名对应的默认I P地址。

从第2行中可以看到，尽管ARP请求是广播的，但是ARP应答的目的地址却是2111611721(00:E0:3C:43:0D:24)。ARP应答是直接送到请求端主机的，而是广播的。tcpdump打印出arp reply的字样，同时打印出响应者的主机ip和硬件地址。

在每一行中，行号后面的数字表示tcpdump收到分组的时间（以秒为单位）。除第1行外，每行在括号中还包含了与上一行的时间差异（以秒为单位）。

这个时候我们再看看机器中的arp缓存：

d2server:/home/kerberos# arp -a

(21116117254) at 00:04:9A:AD:1C:0A [ether] on eth0

(2111611721) at 00:E0:3C:43:0D:24 [ether] on eth0

arp高速缓存中已经增加了一条有关2111611721的映射。

再看看其他的arp相关的命令：

d2server:/home/kerberos# arp -s 2111611721 00:00:00:00:00:00

d2server:/home/kerberos# arp

Address HWtype HWaddress Flags Mask Iface

21116117254 ether 00:04:9A:AD:1C:0A C eth0

2111611721 ether 00:00:00:00:00:00 CM eth0

d2server:/home/kerberos# arp -a

(21116117254) at 00:04:9A:AD:1C:0A [ether] on eth0

(2111611721) at 00:00:00:00:00:00 [ether] PERM on eth0

可以看到我们用arp -s选项设置了2111611721对应的硬件地址为00:00:00:00:00:00，而且这条映射的标志字段为CM,也就是说我们手工设置的arp选项为静态arp选项，它保持不变没有超时，不像高速缓存中的条目要在一定的时间间隔后更新。

如果想让手工设置的arp选项有超时时间的话，可以加上temp选项

d2server:/home/kerberos# arp -s 2111611721 00:00:00:00:00:00 temp

d2server:/home/kerberos# arp -a

(21116117254) at 00:04:9A:AD:1C:0A [ether] on eth0

(2111611721) at 00:00:00:00:00:00 [ether] on eth0

d2server:/home/kerberos# arp

Address HWtype HWaddress Flags Mask Iface

21116117254 ether 00:04:9A:AD:1C:0A C eth0

2111611721 ether 00:00:00:00:00:00 C eth0

可以看到标志字段的静态arp标志"M"已经去掉了，我们手工加上的是一条动态条目。

请大家注意arp静态条目与动态条目的区别。

在不同的系统中，手工设置的arp静态条目是有区别的。在linux和win2000中，静态条目不会因为伪造的arp响应包而改变，而动态条目会改变。而在win98中，手工设置的静态条目会因为收到伪造的arp响应包而改变。

如果您想删除某个arp条目（包括静态条目），可以用下面的命令：

d2server:/home/kerberos# arp -d 2111611721

d2server:/home/kerberos# arp -a

(21116117254) at 00:04:9A:AD:1C:0A [ether] on eth0

(2111611721) at on eth0

可以看到2111611721的arp条目已经是不完整的了。

还有一些其他的命令，可以参考linux下的man文档：

d2server:/home/kerberos# man arp

ARP欺骗

我们先复习一下上面所讲的ARP协议的原理。在实现TCP/IP协议的网络环境下，一个ip包走到哪里，要怎么走是靠路由表定义，但是，当ip包到达该网络后，哪台机器响应这个ip包却是靠该ip包中所包含的硬件mac地址来识别。也就是说，只有机器的硬件mac地址和该ip包中的硬件mac地址相同的机器才会应答这个ip包，因为在网络中，每一台主机都会有发送ip包的时候，所以，在每台主机的内存中，都有一个 arp--> 硬件mac 的转换表。通常是动态的转换表（该arp表可以手工添加静态条目）。也就是说，该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。

通常主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的硬件mac地址，如果没有找到，该主机就发送一个ARP广播包，于是，主机刷新自己的ARP缓存。然后发出该ip包。

了解这些常识后，现在就可以谈在以太网络中如何实现ARP欺骗了，可以看看这样一个例子。

31 同一网段的ARP欺骗

图2 同一网段的arp欺骗

如图2所示，三台主机

A: ip地址 19216801 硬件地址 AA:AA:AA:AA:AA:AA

B: ip地址 19216802 硬件地址 BB:BB:BB:BB:BB:BB

C: ip地址 19216803 硬件地址 CC:CC:CC:CC:CC:CC

一个位于主机B的入侵者想非法进入主机A，可是这台主机上安装有防火墙。通过收集资料他知道这台主机A的防火墙只对主机C有信任关系（开放23端口(tel)）。而他必须要使用tel来进入主机A，这个时候他应该如何处理呢？

我们这样考虑，入侵者必须让主机A相信主机B就是主机C，如果主机A和主机C之间的信任关系是建立在ip地址之上的。如果单单把主机B的ip地址改的和主机C的一样，那是不能工作的，至少不能可靠地工作。如果你告诉以太网卡设备驱动程序， 自己IP是19216803，那么这只是一种纯粹的竞争关系，并不能达到目标。我们可以先研究C这台机器如果我们能让这台机器暂时当掉，竞争关系就可以解除,这个还是有可能实现的。在机器C当掉的同时，将机器B的ip地址改为19216803,这样就可以成功的通过23端口tel到机器A上面，而成功的绕过防火墙的限制。

上面的这种想法在下面的情况下是没有作用的，如果主机A和主机C之间的信任关系是建立在硬件地址的基础上。这个时候还需要用ARP欺骗的手段让主机A把自己的ARP缓存中的关于19216803映射的硬件地址改为主机B的硬件地址。

我们可以人为的制造一个arp_reply的响应包,发送给想要欺骗的主机,这是可以实现的,因为协议并没有规定必须在接收到arp_echo后才可以发送响应包这样的工具很多,我们也可以直接用snifferpro抓一个arp响应包,然后进行修改。

你可以人为地制造这个包。可以指定ARP包中的源IP、目标IP、源MAC地址、目标MAC地址。

这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的。

下面是具体的步骤：

他先研究192003这台主机，发现这台主机的漏洞。

根据发现的漏洞使主机C当掉，暂时停止工作。

这段时间里，入侵者把自己的ip改成192003

他用工具发一个源ip地址为19216803源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A，要求主机A更新自己的arp转换表。

主机更新了arp表中关于主机C的ip-->mac对应关系。

防火墙失效了，入侵的ip变成合法的mac地址，可以tel 了。

上面就是一个ARP的欺骗过程，这是在同网段发生的情况，但是，提醒注意的是，在B和C处于不同网段的时候，上面的方法是不起作用的。

32 不同网段的ARP欺骗

图3 不同网段之间的ARP欺骗

如图3所示A、C位于同一网段而主机B位于另一网段，三台机器的ip地址和硬件地址如下：

A: ip地址 19216801 硬件地址 AA:AA:AA:AA:AA:AA

B: ip地址 19216812 硬件地址 BB:BB:BB:BB:BB:BB

C: ip地址 19216803 硬件地址 CC:CC:CC:CC:CC:CC

在现在的情况下，位于1921681网段的主机B如何冒充主机C欺骗主机A呢？显然用上面的办法的话，即使欺骗成功，那么由主机B和主机A之间也无法建立tel会话，因为路由器不会把主机A发给主机B的包向外转发，路由器会发现地址在1921680这个网段之内。

现在就涉及到另外一种欺骗方式―ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。

什么是ICMP重定向呢？

ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。路由器也会把初始数据报向它的目的地转发。

我们可以利用ICMP重定向报文达到欺骗的目的。

下面是结合ARP欺骗和ICMP重定向进行攻击的步骤：

为了使自己发出的非法ip包能在网络上能够存活长久一点，开始修改ip包的生存时间ttl为下面的过程中可能带来的问题做准备。把ttl改成255 (ttl定义一个ip包如果在网络上到不了主机后，在网络上能存活的时间，改长一点在本例中有利于做充足的广播)

下载一个可以自由制作各种包的工具（例如hping2）

然后和上面一样，寻找主机C的漏洞按照这个漏洞当掉主机C。

在该网络的主机找不到原来的192003后，将更新自己的ARP对应表。于是他发送一个原ip地址为19216803硬件地址为BB:BB:BB:BB:BB:BB的ARP响应包。

好了，现在每台主机都知道了，一个新的MAC地址对应192003,一个ARP欺骗完成了，但是，每台主机都只会在局域网中找这个地址而根本就不会把发送给192003的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。

自己定制一个ICMP重定向包告诉网络中的主机："到192003的路由最短路径不是局域网，而是路由，请主机重定向你们的路由路径，把所有到192003的ip包丢给路由。"

主机A接受这个合理的ICMP重定向，于是修改自己的路由路径，把对192003的通讯都丢给路由器。

入侵者终于可以在路由外收到来自路由内的主机的ip包了，他可以开始tel到主机的23口。

其实上面的想法只是一种理想话的情况，主机许可接收的ICMP重定向包其实有很多的限制条件，这些条件使ICMP重定向变的非常困难。

TCP/IP协议实现中关于主机接收ICMP重定向报文主要有下面几条限制：

新路由必须是直达的

重定向包必须来自去往目标的当前路由

重定向包不能通知主机用自己做路由

被改变的路由必须是一条间接路由

由于有这些限制，所以ICMP欺骗实际上很难实现。但是我们也可以主动的根据上面的思维寻找一些其他的方法。更为重要的是我们知道了这些欺骗方法的危害性，我们就可以采取相应的防御办法。

33 ARP欺骗的防御

知道了ARP欺骗的方法和危害，我们给出一些初步的防御方法：

不要把你的网络安全信任关系建立在ip地址的基础上或硬件mac地址基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上。

设置静态的mac-->ip对应表，不要让主机刷新你设定好的转换表。

除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。在linux下可以用ifconfig -arp可以使网卡驱动程序停止使用ARP。

使用代理网关发送外出的通讯。

修改系统拒收ICMP重定向报文

在linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。

在win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。

4 代理ARP的应用

代理ARP有两大应用,一个是有利的就是我们在防火墙实现中常说的透明模式的实现,另一个是有害的就是通过它可以达到在交换环境中进行嗅探的目的由此可见同样一种技术被应用于不同的目的,效果是不一样的

我们先来看交换环境中局域网的嗅探

通常在局域网环境中，我们都是通过交换环境的网关上网的。在交换环境中使用NetXray或者NAI Sniffer一类的嗅探工具除了抓到自己的包以外，是不能看到其他主机的网络通信的。

但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。

ARP协议是将IP地址解析为MAC地址的协议，局域网中的通信都是基于MAC地址的。

图4 交换网络中的ARP欺骗

如图4所示，三台主机位于一个交换网络的环境中，其中A是网关：

A: ip地址 19216801 硬件地址 AA:AA:AA:AA:AA

B: ip地址 19216802 硬件地址 BB:BB:BB:BB:BB

C：ip地址 19216803 硬件地址 CC:CC:CC:CC:CC

在局域网中19216802和19216803都是通过网关19216801上网的，假定攻击者的系统为19216802，他希望听到19216803的通信，那么我们就可以利用ARP欺骗实现。

这种欺骗的中心原则就是arp代理的应用主机A是局域网中的代理服务器,局域网中每个节点的向外的通信都要通过它主机B想要听主机C的通信,它需要先使用ARP欺骗,让主机C认为它就是主机A,这个时候它发一个IP地址为19216801,物理地址为BB:BB:BB:BB:BB:BB的ARP响应包给主机C,这样主机C会把发往主机A的包发往主机B同理,还要让网关A相信它就是主机C,向网关A发送一个IP地址为19216803,物理地址为BB:BB:BB:BB:BB:BB的包

上面这一步的 *** 作和前面的ARP欺骗的原理是一样的,但是还是有问题,过一段时间主机B会发现自己无法上网所以下面还有一个步骤就是需要在主机B上转发从主机A到主机C的包,并且转发从主机C到主机A的包现在我们可以看到其实主机B在主机A和主机C的通讯中起到了一个代理的作用,这就是为什么叫做ARP代理的原因

具体实现要用到两个工具dsniff和fragrouter,dsniff用来实现ARP欺骗,fragroute用来进行包的转发

首先利用dsniff中的arpspoof来实现ARP欺骗,dsniff软件可以在下面的网址下载:

naughtymonkey/~dugsong/dsniff

安装这个软件包之前先要下载安装lib

欺骗19216803，告诉这台机器网关19216801的MAC地址是19216802的MAC地址

[root@sound dsniff-23]# /arpspoof -i eth0 -t 19216803 19216801欺骗19216801，告诉19216801主机19216803的MAC地址是19216802的MAC地址。

[root@sound dsniff-23]# /arpspoof -i eth0 -t 19216801 19216803现在我们已经完成了第一步的欺骗,这个欺骗是通过arpspoof来完成的,当然您也可以使用别的工具甚至自己发包来完成现在我们可以看到在主机A和主机C的arp列表里面都完成了我们需要的工作在后面的透明代理中我们将使用另外一种不同的理念

下面我们先打开linux系统中的转发包的选项:

[root@sound /root]# echo "1" >/proc/sysipv4/ip_forward下面我们可以下载大名鼎鼎的dugsong的另外一个工具fragroute,这个工具以前叫做fragrouter(仅有1字的差别)主要用于实现入侵检测系统处理分片的ip和tcp包功能的检测,本身自代包转发的功能可以到下面的网站下载:

monkey/~dugsong/fragroute/

安装这个软件包之前先要下载安装libpcap和libevent

当然我们也可以使用fragrouter来完成:

packetstormsecurity/groups/ w00w00/sectools/fragrouter/

[root@sound fragrouter-16]# /fragrouter -B1

fragrouter: base-1: normal IP forwarding

现在就可以实现在交换局域网中嗅探的目标当然上面这些只是一些原理性的介绍,在真正的使用中会遇到很多的问题,比如如何实现对网关A和主机C的欺骗,以及如何处理可能出现的广播风暴问题,这些可以在实践中学习还有一个叫arpsniff的工具能够很方便的完成这一功能,很多网站都提供下载,界面比较友好,由于和上面的原理一样,只是工具使用上的不同并且添加了一些附加的功能,所以这里不在进行介绍

代理ARP的另外一个应用就是防火墙的透明代理的实现我们都知道早期的防火墙大都是基于路由模式,也就是防火墙要完成一个路由的作用这种接入方式需要在局域网内的主机上设置防火墙的IP为代理,而且需要在外部路由器的路由表中加入一条指向防火墙的路由这种方式的缺点在于不透明,需要进行过多的设置,并且破坏了原有的网络拓扑所以现在几乎全部的防火墙都实现了一种透明接入的功能,用户的路由器和客户端不用做任何修改,用户甚至感觉不到透明接入方式防火墙的存在这种透明接入的原理就是ARP代理

我们现在看如何配置一台主机作为透明接入模式的防火墙(透明接入的防火墙不需要IP),

图5

如图5所示,一台防火墙连接内部网段和DMZ网段到外部路由我们在这台用作防火墙的主机上使用linux *** 作系统,这样我们可以方便的使用iptables防火墙假设三块网卡为eth0,eth1和eth2,eth0和路由器相连,eth1和内网相连eth2和外网相连假设DMZ区有2台服务器

内网地址:19216810/24

DMZ地址:19216812---19216813

路由器的ip地址:19216811

eth0:AA:AA:AA:AA:AA:AA

eth1:BB:BB:BB:BB:BB:BB

eth2:CC:CC:CC:CC:CC:CC

和前面差不多,第一步需要实现ARP欺骗,这次我们有个简单的实现我们把路由器的IP地址和防火墙的eth1和eth2的网卡物理地址绑定,将内网和DMZ网段的IP地址和eth0的网卡绑定,在linux系统上我们用arp命令实现:

arp -s 19216811 BB:BB:BB:BB:BB:BB

arp -s 19216811 CC:CC:CC:CC:CC:CC

arp -s 19216810/24 AA:AA:AA:AA:AA:AA

第二部我们需要在基于linux的防火墙上设置路由,把目标地址是外部路由的包转发到eth0,把目标地址为内网的包转发到eth1,把目标地址是DMZ网段服务器的包转发到eth2在linux下面用route命令实现

route add 19216811 dev eth0

route add - 19216810/24 dev eth1

route add 19216812 dev eth2

route add 19216813 dev eth3

(针对DMZ网段里面的每台服务器都要增加一条单独的路由) 现在我们就已经实现了一个简单的arp代理的透明接入,当然对应于防火墙的iptables部分要另外配置,iptables的配置不在本文范畴之内

小结

本文介绍了ARP协议以及与其相关的安全问题。一个重要的安全问题就是ARP欺骗，我们讲到了同一网段的ARP欺骗以及跨网段的ARP欺骗和ICMP重定向相结合的方法。由于有这些安全问题的存在，我们给出一些最基本的解决办法。最后谈到了利用代理ARP实现在交换网络中嗅探和防火墙的透明接入。

Liunx添加ARP表方式如下:

[功能]

管理系统的arp缓存。

[描述]

用来管理系统的arp缓存，常用的命令包括：

arp: 显示所有的表项。

arp -d address: 删除一个arp表项。

arp -s address hw_addr: 设置一个arp表项。

常用参数：

-a 使用bsd形式输出。（没有固定的列）

-n 使用数字形式显示ip地址，而不是默认的主机名形式。

-D 不是指定硬件地址而是指定一个网络接口的名称，表项将使用相应接口的MAC地址。一般用来设置ARP代理。

-H type, --hw-type type: 指定检查特定类型的表项，默认type为ether，还有其他类型。

-i If, --device If: 指定设置哪个网络接口上面的arp表项。

-f filename: 作用同'-s',不过它通过文件来指定IP地址和MAC地址的绑定。文件中每行分别是主机和MAC，中间以空格分割。如果没有指定文件名称，则使用/etc/ethers文件。

以下例子中，用主机名称的地方也可以用点分10进制的ip地址来表示。另外输出结果中用"C"表示ARP缓存内容，"M"表示永久性表项，"P"表示公共的表项。

[举例]

查看arp表：

#arp

Address HWtype HWaddress FlagsMask Iface

hostname1 ether 44:37:e6:97:92:16 C eth0

hostname2 ether 00:0f:fe:43:28:c5 C eth0

hostname3 ether 00:1d:92:e3:d5:ee C eth0

hostname4 ether 00:1d:0f:11:f2:a5 C eth0

这里，Flags中的"C"代表此表项目是高速缓存中的内容，高速缓存中的内容过一段时间（一般20分钟）会清空，而"M"则表示静态表项，静态表项的内容不会过一段时间被清空。

查看arp表，并且用ip显示而不是主机名称：

# arp -n

Address HWtype HWaddress FlagsMask Iface

10110254 ether 00:1d:92:e3:d5:ee C eth0

10110253 ether 44:37:e6:9b:2c:53 C eth0

10110178 ether 00:1b:78:83:d9:85 C eth0

10110119 ether 00:1d:0f:11:f2:a5 C eth0

这里，对于上面的条目，假设当我们"ping 101101"通过之后，arp中会多一条"101101"相关的信息。

查看arp表，显示主机名称和ip：

#arp -a

nsamazonesdlotherscom (10110254) at00:1d:92:e3:d5:ee [ether] on eth0

serveramazoneadlotherscom (10110253) at44:37:e6:9b:2c:53 [ether] on eth0

D2-baijhamazonesdlotherscom (10110178) at00:1b:78:83:d9:85 [ether] on eth0

aplablocal (10110119) at 00:1d:0f:11:f2:a5[ether] on eth0

添加一对IP和MAC地址的绑定：

# arp -s 10111 00:11:22:33:44:55:66

这里，如果网络无法达到，那么会报告错误，具体如下：

root@quietheart:/home/lv-k# arp -s 1011100:11:22:33:44:55:66

SIOCSARP: Network is unreachable

root@quietheart:/home/lv-k# arp -n

Address HWtype HWaddress FlagsMask Iface

10110254 ether 00:1d:92:e3:d5:ee C eth0

10110253 ether 44:37:e6:9b:2c:53 C eth0

10110178 ether 00:1b:78:83:d9:85 C eth0

10110119 ether 00:1d:0f:11:f2:a5 C eth0

实际上，如果"arp -s"设置成功之后，会增加一个Flags为"CM"的表项，有些系统静态条目不会因为ARP响应而更新，而高速缓存中的条目会因此而更新。如果想要手工设置没有"M"，那么用"temp"选项，例如："arp -s IP MAC temp"类似的命令，实践发现，如果已经设置过IP了，那么再设置也不会改变其Flags。

删除一个arp表项：

# arp -d 10110118

这里，删除之后只是硬件地址没有了，如下：

root@quietheart:~# arp -n

Address HWtype HWaddress FlagsMask Iface

10110118 ether 00:25:9c:c2:79:90 CM eth0

10110254 ether 00:1d:92:e3:d5:ee C eth0

root@quietheart:~# arp -d 10110118

root@quietheart:~# arp -n

Address HWtype HWaddress FlagsMask Iface

10110118 (incomplete) eth0

10110254 ether 00:1d:92:e3:d5:ee C

删除eth0上面的一个arp表项：

# arp -i eth0 -d 10110118

[其它]

指定回复的MAC地址：

#/usr/sbin/arp -i eth0 -Ds 10002 eth1 pub

当eth0收到IP地址为10002的请求时，将会用eth1的MAC地址回答。

例如，双网卡机器运行这条命令：

/usr/sbin/arp -i eth0 -Ds 10002 eth1 pub

会多一项：

10002 MP eth0

<网络执法官> 软件

网络执法官是一款网管软件，可用于管理局域网，能禁止局域网任意机器连接网络。对于网管来说，这个功能自然很不错，但如果局域网中有别人也使用该功能那就麻烦了。因为这样轻则会导致别人无法上网，重则会导致整个局域网瘫痪。有什么解决办法呢？请您看下面的招数及其原理。

一、网络执法官简介

我们可以在局域网中任意一台机器上运行网络执法官的主程序NetRobocopexe。它可以穿透防火墙、实时监控、记录整个局域网用户上线情况，可限制各用户上线时所用的IP、时段，并可将非法用户踢下局域网。该软件适用范围为局域网内部，不能对网关或路由器外的机器进行监视或管理，适合局域网管理员使用。

在网络执法官中，要想限制某台机器上网，只要点击"网卡"菜单中的"权限"，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择"权限"，在d出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线：只要设定好所有已知用户（登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC地址，这样就可以禁止其上网。

二、ARP欺骗的原理

网络执法官中利用的ARP欺骗使被攻击的电脑无法上网，其原理就是使该电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢？知其然，知其所以然是我们的优良传统，下面我们就谈谈这个问题。

首先给大家说说什么是ARP,ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。

ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。

网络执法官利用的就是这个原理！知道了它的原理，再突破它的防线就容易多了。

三、修改MAC地址突破网络执法官的封锁

根据上面的分析，我们不难得出结论：只要修改MAC地址，就可以骗过网络执法官的扫描，从而达到突破封锁的目的。下面是修改网卡MAC地址的方法：

在"开始"菜单的"运行"中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_ MACHINE\System\CurrentControlSet\Control\Class\子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intel 210 41 based Ethernet Controller），在这里假设你的网卡在0000子键。在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在"0000"子键下的NDI\params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。

在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定Network Address的描述，其值可为"MAC Address"。这样以后打开网络邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。

关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。这个地址与网络无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有相同的MAC地址，MAC地址一般不可改变，不能由用户自己设定。MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数，08:00:20代表网络硬件制造商的编号，它由IEEE分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。

另外，网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。因此，只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效，就隔开突破它的限制。你可以事先Ping一下网关，然后再用ARP -a命令得到网关的MAC地址，最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。

四、找到使你无法上网的对方

解除了网络执法官的封锁后，我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段，然后查找处在"混杂"模式下的计算机，就可以发现对方了。具体方法是：运行Arpkiller，然后点击"Sniffer监测工具"，在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP，单击"开始检测"就可以了。

检测完成后，如果相应的IP是绿帽子图标，说明这个IP处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。

扫描时自己也处在混杂模式，把自己不能算在其中哦！

找到对方后怎么对付他就是你的事了。

五、再来两招轻松防范网络执法官

NO1 首先呢，最稳妥的一个办法就是修改机器的MAC地址，只要把MAC地址改为别的，就可以欺骗过网络执法官，从而达到突破封锁的目的。下面是修改MAC地址的方法：

linux环境下:

需要用

#ifconfig eth0 down

先把网卡禁用

再用ifconfig eth0 hw ether 1234567890ab

这样就可以改成功了

要想永久改就这样

在/etc/rcd/rclocal里加上这三句(也可以在/etc/initd/network里加下面三行)

ifconfig eth0 down

ifconfig eth0 hw ether 1234567890ab

ifconfig eth0 up

另:

在win2000中改MAC地址的方法：

打开注册表编辑器，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\子键，在该子键下的0000，0001，0002等分支中查找DriverDesc，在0000子键下天一个字符串项，命名为NetworkAddress，键值设为修改后的MAC地址，要求为连续的12个16进制数，如1234567890AB(注意位数要对！不能是000000000000，不能与别的机器重复)。然后在0000下的NDI\params中加一项名为NetworkAddress的子键，在该子键下添加名为default的字符串，键值为修改后的MAC地址，与上面的数值相同。在NetworkAddress的主键下继续添加命名为ParamDesc的字符串，其作用是制定NetworkAddress主键的描述，其值可为“MAC 地址”，这样以后打开网络属性，双击相应的网卡会发现有一个高级设置，其下坐在“MAC地址”的选项，在此修改MAC地址就可以了，修改后需重启。

Windows环境:

用dos，8139的可以改，用realtek的pg8139exe,比如 是8139c网卡，就改写8139ccfg文件，第一行就是网卡mac,想怎么改就怎么改

NO2 另外一种方法，我没有试，一种设想，有条件的朋友帮忙试一下。

由于网络执法官的原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC，那么我们可以自己修改IP->MAC的映射，使网络执法官ARP欺骗失效。具体做法如下：

在还没有被封锁的时候进入CMD执行如下命令

e:\>ping 19216891 (假设此地址位网关。)

Pinging 19216891 with 32 bytes of data:

Reply from 19216891: bytes=32 time<10ms TTL=64

Reply from 19216891: bytes=32 time<10ms TTL=64

Reply from 19216891: bytes=32 time<10ms TTL=64

Reply from 19216891: bytes=32 time<10ms TTL=64

Ping statistics for 19216891:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

e:\>arp -a

Interface: 19216891 on Interface 0x5000003

Internet Address Physical Address Type

19216891 00-0E-70-32-f1-02 dynamic

(上面的就是网关的MAC)

然后作这样一个批处理文件保存起来。。注意！！！地址要换为你自己的网关的IP和MAC

arp -s 19216891 00-0E-70-32-f1-02

然后呢，在你被封锁的时候，就执行这个批处理吧。

NO3 如果解除了网络执法官的封锁可不可以查到使用网络执法官的人究竟是谁呢答案是可以！利用arpkiller的sniffer杀手扫描整个局域网IP段查找处在“混杂”(监听)模式下的计算机，应该就是他了

linuxarp广播报文的目的IP地址是255255255255，目的MAC地址是ff:ff:ff:ff:ff:ff。这是因为linuxarp广播报文是一种特殊的广播报文，它的目的IP地址和目的MAC地址都是全1，表示发送给所有的主机。

以上就是关于什么是ARP全部的内容，包括:什么是ARP、如何给linux给ARP表添加条目、linux的arp解析关掉了，怎么打开等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！