深入ARP协议 解决ARP欺骗问题

　　今天有一朋友给我挂电话，说他路由有问题了。开始是网络有问题，后来他断开网络，用单机接路由的LAN口进去调试，竟然都登录不进去！我便叫他在CMD下输入ARP —D（清空ARP缓存的命令） 先试下，不要那么急着定结论。一分种后他再挂电话过来，可以登录了。

　　问题有没有解决我们暂不去管，因为我们今天主要是聊ARP协议。

　　了解ARP协议是非常有必要的，局域网内的通讯它必不可少，而且作用非常大，在后续的学习中，我们还将会遇到ARP欺骗等比较重要的东东。所以，俺将模拟刚才的那个问题，来跟大家一起探讨。

　　一、ARP的协议结构分析

　　IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。

　　ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信。如果有一个不被信任的节点对本地网络具有写访问许可权，那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些机器，或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上， ARP映射可以用固件，并且具有自动抑制协议达到防止干扰的目的。

　　图1 以太网上的ARP报文格式