arp协议

人们最熟悉的网络可以说是以太网，而且人们都知道，每块网卡都有一个编号，也就是网卡地址（称为MAC地址），代表计算机的物理地址。另外，网络中的每一台计算机都分配了一个IP地址，这样，每台计算机上都有两个地址，IP地址和MAC地址。 IP地址并不能代替MAC地址，前者是在大网中为了方便定位主机所采用的方式，如果网络规模不大，完全可以不使用IP地址。但是，无论什么网络环境物理地址都是要使用的。因为物理地址对应于网卡的接口，只有找到它才算真正到达了目的地。而IP地址是为了方便寻址人为划分的地址格式，因此IP地址也被称为逻辑地址，又因为这种结构化地址是在OSI的第3层定义的，也被称为3层地址。相应地，物理地址是在第2层定义的，被称为2层地址。IP地址是一种通用格式，无论其下一层的物理地址是什么类型，都可以被统一到一致的IP地址形式上，因此IP地址屏蔽了下层物理地址的差异。 既然IP地址并不能代替物理地址，它只是在逻辑上表示一台主机，物理地址才对应于网卡的接口，只有找到它才能将数据送达到目的地。那么如何把二者对应起来就是要解决的首要问题，因为二者代表的是同一台机器。为此人们开发了地址解析协议（Address Revolution Protocol，ARP），地址解析协议负责把IP地址映射到物理地址。 下面分两种情况解释ARP的工作过程：同一子网内的arp和不同子网间的arp。 （1

什么是arp协议： arp协议是地址解析协议，英文是address resolution protocol 通过IP地址可以获得mac地址 两个主机的通信归根到底是MAC地址之间的通信 在TCP/IP的网络环境下，每个联网的主机都会被分配一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址 ，为了让报文能够在物理网络上传输，还必须要知道对方主机的物理地址（MAC地址），这样就存在把IP地址转换成物理地址的问题。 我们以以太网为例，为了正确的向目的主机发送报文，必须把目的主机的32位IP地址转换成48位的以太网地址（MAC地址），这就需要在互联层有各个服务或功能将IP地址转换成响应的物理地址，这个服务或者功能就是ARP协议。 所谓的“地址解析”，就是主机在发送帧之前将目的IP地址转换成目的主机的mac地址的过程， ARP协议的基本功能就是通过目标设备的IP地址，查询目标主机的MAC地址，以保证主机间互相通信的顺利进行 ARP协议和DNS有点相像之处，不同点是DNS在域名和ip地址之间解析，而ARP是在IP地址和MAC地址之间解析，当然，他们都支持反向解析 ARP代理（ARP proxy）的工作原理： ARP协议要求通信的主机必须在同一个物理网段内（局域网环境），如果不在同一个局域网内的话就需要ARP代理了 当发送主机和目的主机不在同一个局域网中时

中国人民公安大学 Chinese people ’ public security university 网络对抗技术 实验报告 实验二 网络嗅探与欺骗 学生姓名 张程 年级 2014 区队 四 指导教师 高见 信息技术与网络安全 学院 2017 年10 月10 日 实验任务总纲 20 1 6 —20 1 7 学年 第 一 学期 一、实验目的 1．加深并消化本课程授课内容，复习所学过的互联网搜索技巧、方法和技术； 2．了解并熟悉常用的网络嗅探方式，掌握常用抓包软件的使用方法和过滤技巧，能够对给定的数据包分析网络基本行为；掌握ARP欺骗的基本原理，以及基于ARP欺骗的DNS攻击方式； 3．达到巩固课程知识和实际应用的目的。 二、实验要求 1．认真阅读每个实验内容，需要截图的题目，需清晰截图并对截图进行标注和说明。 2．文档要求结构清晰，图文表达准确，标注规范。推理内容客观、合理、逻辑性强。 3．软件工具可使用office2003或2007、CAIN、Wireshark等。 4．实验结束后，保留电子文档。 三 、实验步骤 1．准备 提前做好实验准备，实验前应把详细了解实验目的、实验要求和实验内容，熟悉并准备好实验用的软件工具，按照实验内容和要求提前做好实验内容的准备。 2．实验环境 描述实验所使用的硬件和软件环境（包括各种软件工具）； 开机并启动软件office2003或2007

实验描述： 在本实验中，我们将 研究以太网协议和 ARP 协议 。在开始实验之前， 您可以查看课本的 6.4.1 节（链路层地址和 ARP）和 6.4.2（以太网）, 您也可以去看 RFC 826(ftp://ftp.rfc-editor.org/in-notes/std/std37.txt)了解关于 ARP 的协议详细信息, 该协议可以根据 IP 地址获取远程主机的的物理地址(MAC地址)。 实验过程： 第一部分：捕获和分析以太网帧 让我们从 捕获一组以太网帧 开始研究。 请执行下列操作 ： 首先，确保浏览器的缓存为空(清除浏览器缓存)， 对于Chorme浏览器，如下图所示 ，然后启动 Wireshark数据包嗅探器。 打开以下 URL http://gaia.cs.umass.edu/wireshark-labs/HTTP-ethereal-lab-file3.html 您的浏览器应显示相当冗长的美国权利法案。 接下来停止 Wireshark数据包捕获，找到您向 gaia.cs.umass.edu的 HTTP GET消 息的数据包编号以及 gaia.cs.umass.edu相应您的 HTTP回应。您的抓包结果应 看起来向下面一样: 由于本实验是关于以太网和 ARP的，我们对 IP或更高层协议不感兴趣。 因此，让我们更改 Wireshark的“捕获数据包列表”窗口

1.1 TCP SYN拒绝服务攻击　　一般情况下，一个TCP连接的建立需要经过三次握手的过程，即：　　1、 建立发起者向目标计算机发送一个TCP SYN报文；　　2、 目标计算机收到这个SYN报文后，在内存中创建TCP连接控制块（TCB），然后向发起者回送一个TCP ACK报文，等待发起者的回应；　　3、 发起者收到TCP ACK报文后，再回应一个ACK报文，这样TCP连接就建立起来了。　　利用这个过程，一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击：　　1、 攻击者向目标计算机发送一个TCP SYN报文；　　2、 目标计算机收到这个报文后，建立TCP连接控制结构TCB），并回应一个ACK，等待发起者的回应；　　3、 而发起者则不向目标计算机回应ACK报文，这样导致目标计算机一致处于等待状态。　　可以看出，目标计算机如果接收到大量的TCP SYN报文，而没有收到发起者的第三次ACK回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB控制结构，TCB，一般情况下是有限的）耗尽，而不能响应正常的TCP连接请求。　　1.2 ICMP洪水　　正常情况下，为了对网络进行诊断，一些诊断程序，比如PING等，会发出ICMP响应请求报文（ICMP ECHO），接收计算机接收到ICMP ECHO后，会回应一ICMP ECHO Reply报文

简述PPP协议中口令鉴别协议PAP和挑战握手鉴别协议CHAP协议的工作过程，可以用流程图表示 答： PAP（Password Authentication Protocol，口令鉴定协议）是一种两次握手验证协议，它在网络上采用明文方式传输用户名和口令。PAP验证的过程如下： 被验证方主动发起验证请求，将本端的用户名和口令发送到验证方； 验证方接到被验证方的验证请求后，检查此用户名是否存在以及口令是否正确。 如果此用户名存在且口令正确，验证方返回Acknowledge响应，表示验证通过； 如果此用户名不存在或口令错误。验证方返回Not Acknowledge响应，表示验证不通过。 PAP： CHAP（Challenge Handshake Authentication Protocol，质询握手鉴定协议）是一种三次握手验证协议，它只在网络上传输用户名，而用户口令并不在网络上传播。CHAP验证过程如下： 验证方主动发起验证请求，向被验证方发送一些随机产生的报文，并同时将本端配置的用户名附带上一起发送给被验证方； 被验证方接到验证方的验证请求后，根据此报文中的用户名在本端的用户表中查找用户口令。 如找到用户表中与验证方用户名相同的用户，便利用报文ID和此用户的口令以MD5算法生成应答，随后将应答和自己的用户名送回； 验证方接收到此应答后，利用报文ID

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的，IP地址是32 位的，而MAC地址则是48位的。MAC地址的长度为48位（6个字节），通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08: 00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数08:00:20代表网络硬件制造商的编号，它由IEEE（电气与电子工程师协 会）分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。只要你不去更改自己的MAC地址，那么你的MAC地 址在世界是惟一的。 MAC地址的作用 IP地址就如同一个职位，而MAC地址则好像是去应聘这个职位的人才，职位可以既可以让甲坐，也可以让乙坐，同样的道理一个节点的IP地址对于网卡是不做 要求，基本上什么样的厂家都可以用，也就是说IP地址与MAC地址并不存在着绑定关系。本身有的计算机流动性就比较强，正如同人才可以给不同的单位干活的 道理一样的，人才的流动性是比较强的。职位和人才的对应关系就有点像是IP地址与MAC地址的对应关系。比如，如果一个网卡坏了，可以被更换，而无须取得 一个新的IP地址。如果一个IP主机从一个网络移到另一个网络，可以给它一个新的IP地址，而无须换一个新的网卡。当然MAC地址除了仅仅只有这个功能还

ARP （Address Resolution Protocol）地址解析协议，是根据IP地址获取物理地址的一个TCP/IP协议。 当在同一网络段内或同一子网内，主机发送信息时将包含目标IP地址的ARP请求广播发送到网络上的所有主机，并接收返回消息，以确定目标主机的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。 ARP提供的功能 是32bit的IP地址与48bit的MAC接口地址之间的动态映射。 ARP工作过程 　　 　　主机A的IP地址为172.16.1.1，MAC地址为78-51-7b-21-0f-05；主机B的IP地址为172.16.1.2，MAC地址为78-51-84-11-10-05。 　　当主机A要与主机B通信时，ARP地址解析协议将主机B的IP地址172.16.1.2解析成主机B的MAC地址，以下为工作流程： 　　1、根据主机A上的路由表，确定访问主机B的转发接口地址。A主机在本机ARP缓存中查询主机B IP地址对应的MAC地址。 　　2、如果主机A在ARP缓存中没有找到映射，它将询问172.16.1.2对应的MAC地址，并将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包含在ARP请求帧中。本地网络上的每台主机都会收到ARP请求并检查是否与自己的IP地址匹配

一、介绍 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在同一以太网中，通过地址解析协议，源主机可以通过目的主机的IP地址获得目的主机的MAC地址。arping程序就是完成上述过程的程序。 arping，用来向局域网内的其它主机发送ARP请求的指令，它可以用来测试局域网内的某个IP是否已被使用。 二、指令格式如下： arping [-AbDfhqUV] [-c count] [-w deadline] [-s source] -I interface destination 三、参数释意： -A：与-U参数类似，但是使用的是ARP REPLY包而非ARP REQUEST包。 -b：发送以太网广播帧，arping在开始时使用广播地址，在收到回复后使用unicast单播地址。 -c：发送指定的count个ARP REQUEST包后停止。如果指定了-w参数，则会等待相同数量的ARP REPLY包，直到超时为止。 -D：重复地址探测模式，用来检测有没有IP地址冲突，如果没有IP冲突则返回0。 -f：收到第一个响应包后退出。 -h：显示帮助页。 -I：用来发送ARP REQUEST包的网络设备的名称。 -q：quite模式，不显示输出。 -U：无理由的（强制的）ARP模式去更新别的主机上的ARP CACHE列表中的本机的信息，不需要响应。 -V

一：MAC地址表详解 说到MAC地址表，就不得不说一下交换机的工作原理了，因为交换机是根据MAC地址表转发数据帧的。在交换机中有一张记录着局域网主机MAC地址与交换机接口的对应关系的表，交换机就是根据这张表负责将数据帧传输到指定的主机上的。 交换机的工作原理 交换机在接收到数据帧以后，首先、会记录数据帧中的源MAC地址和对应的接口到MAC表中，接着、会检查自己的MAC表中是否有数据帧中目标MAC地址的信息，如果有则会根据MAC表中记录的对应接口将数据帧发送出去(也就是单播)，如果没有，则会将该数据帧从非接受接口发送出去(也就是广播)。 如下图：详细讲解交换机传输数据帧的过程 1)主机A会将一个源MAC地址为自己，目标MAC地址为主机B的数据帧发送给交换机。 2)交换机收到此数据帧后，首先将数据帧中的源MAC地址和对应的接口(接口为f 0/1) 记录到MAC地址表中。 3)然后交换机会检查自己的MAC地址表中是否有数据帧中的目标MAC地址的信息，如果有，则从MAC地址表中记录的接口发送出去，如果没有，则会将此数据帧从非接收接口的所有接口发送出去(也就是除了f 0/1接口)。 4)这时，局域网的所有主机都会收到此数据帧，但是只有主机B收到此数据帧时会响应这个广播，并回应一个数据帧，此数据帧中包括主机B的MAC地址。 5)当交换机收到主机B回应的数据帧后，也会记录数据帧中的源MAC地址