地址解析協定由網際網路工程任務組(IETF)在1982年11月發布的RFC 826中描述制定。地址解析協定是IPv4中必不可少的協定,而IPv4是使用較為廣泛的網際網路協定版本(IPv6仍處在部署的初期)。OSI模型把網路工作分為七層,IP位址在OSI模型的第三層,MAC地址在第二層,彼此不直接打交道。在通過乙太網傳送IP數據包時,需要先封裝第三層(32位IP位址)、第二層(48位MAC地址)的報頭,但由於傳送時只知道目標IP位址,不知道其MAC地址,又不能跨第二、三層,所以需要使用地址解析協定。使用地址解析協定,可根據網路層IP數據包包頭中的IP位址信息解析出目標硬體地址(MAC地址)信息,以保證通信的順利進行。
工作過程主機A的IP位址為192.168.1.1,MAC地址為0A-11-22-33-44-01;主機B的IP位址為192.168.1.2,MAC地址為0A-11-22-33-44-02;當主機A要與主機B通信時,地址解析協定可以將主機B的IP位址(192.168.1.2)解析成主機B的MAC地址,以下為工作流程:第1步:根據主機A上的路由表內容,IP確定用於訪問主機B的轉發IP位址是192.168.1.2。然後A主機在自己的本地ARP快取中檢查主機B的匹配MAC地址。第2步:如果主機A在ARP快取中沒有找到映射,它將詢問192.168.1.2的硬體地址,從而將ARP請求幀廣播到本地網路上的所有主機。源主機A的IP位址和MAC地址都包括在ARP請求中。本地網路上的每台主機都接收到ARP請求並且檢查是否與自己的IP位址匹配。如果主機發現請求的IP位址與自己的IP位址不匹配,它將丟棄ARP請求。第3步:主機B確定ARP請求中的IP位址與自己的IP位址匹配,則將主機A的IP位址和MAC地址映射添加到本地ARP快取中。第4步:主機B將包含其MAC地址的ARP回復訊息直接傳送回主機A。第5步:當主機A收到從主機B發來的ARP回復訊息時,會用主機B的IP和MAC地址映射更新ARP快取。本機快取是有生存期的,生存期結束後,將再次重複上面的過程。主機B的MAC地址一旦確定,主機A就能向主機B傳送IP通信了。工作要素:ARP快取查看ARP快取ARP快取是個用來儲存IP位址和MAC地址的緩衝區,其本質就是一個IP位址--MAC地址的對應表,表中每一個條目分別記錄了網路上其他主機的IP位址和對應的MAC地址。每一個乙太網或令牌環網路適配器都有自己單獨的表。當地址解析協定被詢問一個已知IP位址節點的MAC地址時,先在ARP快取中查看,若存在,就直接返回與之對應的MAC地址,若不存在,才傳送ARP請求向區域網路查詢。為使廣播量最小,ARP維護IP位址到MAC地址映射的快取以便將來使用。ARP快取可以包含動態和靜態項目。動態項目隨時間推移自動添加和刪除。每個動態ARP快取項的潛在生命周期是10分鐘。新加到快取中的項目帶有時間戳,如果某個項目添加後2分鐘內沒有再使用,則此項目過期並從ARP快取中刪除;如果某個項目已在使用,則又收到2分鐘的生命周期;如果某個項目始終在使用,則會另外收到2分鐘的生命周期,一直到10分鐘的最長生命周期。靜態項目一直保留在快取中,直到重新啟動計算機為止。工作媒介:報文地址解析協定是通過報文工作的。報文包括如下欄位:
| 硬體類型 | 協定類型 | |
| 硬體地址長度 | 協定長度 | 操作類型 |
| 傳送方硬體地址(0-3位元組) | ||
| 傳送方硬體地址(4-5位元組) | 傳送方IP位址(0-1位元組) | |
| 傳送方IP位址(2-3位元組) | 目標硬體地址(0-1位元組) | |
| 目標硬體地址(2-5位元組) | ||
| 目標IP位址(0-3位元組) | ||
ARP命令ARP命令ARP快取中包含一個或多個表,它們用於存儲IP位址及其經過解析的MAC地址。ARP命令用於查詢本機ARP快取中IP位址--MAC地址的對應關係、添加或刪除靜態對應關係等。如果在沒有參數的情況下使用,ARP命令將顯示幫助信息。常見用法arp -a或arp –g用於查看快取中的所有項目。-a和-g參數的結果是一樣的,多年來-g一直是UNIX平台上用來顯示ARP快取中所有項目的選項,而Windows用的是arp -a(-a可被視為all,即全部的意思),但它也可以接受比較傳統的-g選項。arp -a Ip如果有多個網卡,那么使用arp -a加上接口的IP位址,就可以只顯示與該接口相關的ARP快取項目。arp -s Ip 物理地址可以向ARP快取中人工輸入一個靜態項目。該項目在計算機引導過程中將保持有效狀態,或者在出現錯誤時,人工配置的物理地址將自動更新該項目。arp -d Ip使用該命令能夠人工刪除一個靜態項目。主詞條:ARP命令ARP欺騙地址解析協定是建立在網路中各個主機互相信任的基礎上的,它的誕生使得網路能夠更加高效的運行,但其本身也存在缺陷:ARP地址轉換表是依賴於計算機中高速緩衝存儲器動態更新的,而高速緩衝存儲器的更新是受到更新周期的限制的,只保存最近使用的地址的映射關係表項,這使得攻擊者有了可乘之機,可以在高速緩衝存儲器更新表項之前修改地址轉換表,實現攻擊。ARP請求為廣播形式傳送的,網路上的主機可以自主傳送ARP應答訊息,並且當其他主機收到應答報文時不會檢測該報文的真實性就將其記錄在本地的MAC地址轉換表,這樣攻擊者就可以向目標主機傳送偽ARP應答報文,從而篡改本地的MAC地址表。ARP欺騙可以導致目標計算機與網關通信失敗,更會導致通信重定向,所有的數據都會通過攻擊者的機器,因此存在極大的安全隱患。防禦措施不要把網路安全信任關係建立在IP基礎上或MAC基礎上(RARP同樣存在欺騙的問題),理想的關係應該建立在IP+MAC基礎上。設定靜態的MAC--IP對應表,不要讓主機刷新設定好的轉換表。除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應表中。使用ARP伺服器。通過該伺服器查找自己的ARP轉換表來回響其他機器的ARP廣播。確保這台ARP伺服器不被黑。使用“proxy”代理IP的傳輸。使用硬體禁止主機。設定好路由,確保IP位址能到達合法的路徑(靜態配置路由ARP條目),注意,使用交換集線器和網橋無法阻止ARP欺騙。管理員定期用回響的IP包中獲得一個RARP請求,然後檢查ARP回響的真實性。管理員定期輪詢,檢查主機上的ARP快取。使用防火牆連續監控網路。注意有使用SNMP的情況下,ARP的欺騙有可能導致陷阱包丟失。若感染ARP病毒,可以通過清空ARP快取、指定ARP對應關係、添加路由信息、使用防病毒軟體等方式解決。主詞條:ARP欺騙