ARP

协议的工作原理

在每台安装有

TCP/IP

协议的电脑里都有一个

ARP

缓存表，

表里的

IP

地址与

MAC

地址是一一对应的，如附表所示。

附表

我们以主机

A

（

192.168.1.5

）向主机

B

（

192.168.1.1

）发送数据为例。当发送

数据时，

主机

A

会在自己的

ARP

缓存表中寻找是否有目标

IP

地址。

如果找到了，

也就知道了目标

MAC

地址，

直接把目标

MAC

地址写入帧里面发送就可以了；

如果

在

ARP

缓存表中没有找到相对应的

IP

地址，

主机

A

就会在网络上发送一个广播，

目标

MAC

地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出

这样的询问：

“192.168.1.1

的

MAC

地址是什么？”网络上其他主机并不响应

ARP

询问，

只有主机

B

接收到这个帧时，

才向主机

A

做出这样的回应：

“192.168.1.1

的

MAC

地址是

00-aa-00-62-c6-

09”。

这样，

主机

A

就知道了主机

B

的

MAC

地址，

它就可以向主机

B

发送信息了。

同时它还更新了自己的

ARP

缓存表，

下次再向主

机

B

发送信息时，直接从

ARP

缓存表里查找就可以了。

ARP

缓存表采用了老化机

制，

在一段时间内如果表中的某一行没有使用，

就会被删除，

这样可以大大减少

ARP

缓存表的长度，加快查询速度。

ARP

攻击就是通过伪造

IP

地址和

MAC

地址实现

ARP

欺骗，能够在网络中产生大

量的

ARP

通信量使网络阻塞，

攻击者只要持续不断的发出伪造的

ARP

响应包就能

更改目标主机

ARP

缓存中的

IP-MAC

条目，造成网络中断或中间人攻击。

ARP

攻击主要是存在于局域网网络中，局域网中若有一个人感染

ARP

木马，则感

染该

ARP

木马的系统将会试图通过“ARP

欺骗”手段截获所在网络内其它计算机

的通信信息，并因此造成网内其它计算机的通信故障。

三、如何查看

ARP

缓存表

ARP

缓存表是可以查看的，

也可以添加和修改。

在命令提示符下，

输入“arp 

-

a”

就可以查看

ARP

缓存表中的内容了，如附图所示。

用“arp 

-

d”命令可以删除

ARP

表中某一行的内容；用“arp 

-

s”可以手动在

ARP

表中指定

IP

地址与

MAC

地址的对应。

四、

ARP

欺骗

其实，此起彼伏的瞬间掉线或大面积的断网大都是

ARP

欺骗在作怪。

ARP

欺骗攻

击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。

从影响网络连接通畅的方式来看，

ARP

欺骗分为二种，一种是对路由器

ARP

表的

欺骗；另一种是对内网

PC

的网关欺骗。