arp协议工作原理(arp协议工作原理以下描述正确的是)

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。
ARP协议工作原理

代理ARP原理：对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信，网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的 IP地址对源计算机进行应答。代理ARP就是将一个主机作为对另一个主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router，使得子网对该主机来说变得更透明化。同时也会带来巨大的风险，除了ARP欺骗，和某个网段内的ARP增加，最重要的就是无法对网络拓扑进行网络概括。代理ARP的使用一般是使用在没有配置默认网关和路由策略的网络上的。 代理ARP是ARP协议的一个变种。 原理是： 对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信，网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的 IP地址对源计算机进行应答。代理ARP就是将一个主机作为对另一个主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router，使得子网对该主机来说变得更透明化。同时也会带来巨大的风险，除了ARP欺骗，和某个网段内的ARP增加，最重要的就是无法对网络拓扑进行网络概括。代理ARP的使用一般是使用在没有配置默认网关和路由策略的网络上的。
代理ARP是ARP协议的一个变种。 原理是： 对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信，网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的 IP地址对源计算机进行应答。代理ARP就是将一个主机作为对另一个主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router，使得子网对该主机来说变得更透明化。同时也会带来巨大的风险，除了ARP欺骗，和某个网段内的ARP增加，最重要的就是无法对网络拓扑进行网络概括。代理ARP的使用一般是使用在没有配置默认网关和路由策略的网络上的。
代理ARP是ARP协议的一个变种。 对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信，网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的 IP地址对源计算机进行应答。代理ARP就是将一个主机作为对另一个主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router，使得子网对该主机来说变得更透明化。同时也会带来巨大的风险，除了ARP欺骗，和某个网段内的ARP增加，最重要的就是无法对网络拓扑进行网络概括。代理ARP的使用一般是使用在没有配置默认网关和路由策略的网络上的。
ARP高速缓存中的某一项内容（这个命令格式可以在运行一些例子之前使用，以让我们看清楚ARP的交换过程）。 另外，可以通过选项- s来增加高速缓存中的内容。这个参数需要主机名和以太网地址：对应于主机名的IP地址和以太网地址被增加到高速缓存中。新增加的内容是永久性的（比如，它没有超时值），除非在命令行的末尾附上关键字temp。位于命令行末尾的关键字pub和-s选项一起，可以使系统起着主机ARP代理的作用。系统将回答与主机名对应的IP地址的ARP请求，并以指定的以太网地址作为应答。如果广播的地址是系统本身，那么系统就为指定的主机名起着委托ARP代理的作用。在大多数的TCP/IP实现中，ARP是一个基础协议，但是它的运行对于应用程序或系统管理员来说一般是透明的。ARP高速缓存在它的运行过程中非常关键，我们可以用ARP命令对高速缓存进行检查和操作。高速缓存中的每一项内容都有一个定时器，根据它来删除不完整和完整的表项。ARP命令可以显示和修改ARP高速缓存中的内容。
内网的机器想要知道外网的IP主机的MAC地址，但是我们知道MAC是工作在数据链路层，MAC是不可能跨路由的，所以，可以通过网关的MAC绑定源主机的IP来实现通信！这就是代理ARP。

ARP--地址解析协议，其实ARP包括两个协议，即ARP和RARP。前者是地址解析协议，即将物理地址转化为IP地址，这个是给电脑用的；后者是反地址解析协议，即将IP地址转化为物理地址，这个主要方便人来记忆的！ 这里面用到的原理主要还是数学上面的映射原理，即一个IP地址与一个物理地址一一对应，解析通过DNS服务器，层层查找地址，最后，找到该地址正确的位置！
ARP欺骗的攻击以其特有的灵活性和高成功率被入侵者所青眯，并且在内网中，这种方法被广泛应用，以至于ARp被称为局域网杀手。 知道网络上的两个节点之间要通信的话都必须遵循一个规则，这个规则是协议，比如最常见的Tcp/IP。其中TCp保证连接以及数据传送的可靠性，而IP则保证把数据包发送到指定位置，因此可以接受数据包的节点必须有个地址，在TCP/IP网络中这个地址就是IP地址，数据就是根据这个地址在网络上传送的。而数据包在到达了最基层的局域网或直接在局域网中传送的时候，寻找目的地不仅仅要依靠Ip地址来识别了。在局域网中，或者我们更精确地说在以太网中,网卡和双绞线组成了数据传送物理终点和传送介质，一个数据包要想到达某台计算机，它必须找到这台计算机的网卡。网卡也有一个地址的，我们称作MAC地址。每一个网卡在被生产出厂的时候都被分配给一个MAC地址，而理论上这个地址是唯一确定的。MAC地址是以-符号分割的六组两个十六进制数组合的一个字符串，如34-C9-08-AE-E9-21，这是MAC的标准式书写，以太网中就是基于MAC地址通信的。在TCP/IP网络中，IP地址是不可少的，遵循TCP/IP协议的软件在发送数据的时候指定地址都必须是一个IP地址，这就要求以太网具有把IP地址转换为MAC地下的能力，这样TCP/IP通信才能正常进行，ARP协议由些而生。ARP即地址解析协议，它负责把IP地址转换为相应的MAC地址。说是相应的，因为每个局域网的计算机在最初进行网络设置的时候，设置一个静态IP，操作系统就会把这个IP和网卡的MAC地址绑定在一起，而如果使用了DHCP服务器分配动态的IP，则在分配到IP的时候，这个IP也就和MAC地址绑定了，也就是形成了一种IP地址和MAC地址对应关系。 看大家最近受ARP攻击的板友不少，查了一些资料整理出来了一些关于ARP方面的知识，希望大家能了解ARP，随后还有一些，今天发上这点，随时整理随时加上，全面的了解ARP工作原理从根本上去解决它。

arp攻击的原理 arp在目前看来可以分为7中之多。1、arp欺骗（网关、pc）2、arp攻击3、arp残缺4、海量arp5、二代arp（假ip、假mac)因为二代的arp最难解决，现在我就分析一下二代arp的问题。现象 ARP出现了新变种，二代ARP攻击已经具有自动传播能力，已有的宏文件绑定方式已经被破，网络有面临新一轮的掉线和卡滞盗号的影响！原理二代ARP主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机，可以轻而易举的清除掉客户机电脑上的ARP静态绑定（首先执行的是arp -d然后在执行的是arp -s ，此时绑定的是一个错误的MAC)伴随着绑定的取消，错误的网关IP和MAC的对应并可以顺利的写到客户机电脑，ARP的攻击又畅通无阻了。通过对arp原理的分析：arp攻击的一般解决办法如下 ：1）部分用户采用的“双/单项绑定”后，ARP攻击得到了一定的控制。面临问题双绑和单绑都需要在客户机上绑定。二代ARP攻击会清除电脑上的绑定，使得电脑静态绑定的方式无效。（2）部分用户采用一种叫作“循环绑定”的办法，就是每过一段“时间”客户端自动绑定一个“IP/MAC”。面临问题如果我们“循环绑定”的时间较长（比arp清除的时间长）就是说在“循环绑定”进行第二次绑定之前就被清除了，这样对arp的防范仍然无效。如果“循环绑定”的时间过短（比arp清除时间短）这块就会暂用更多的系统资源，这样就是“得不偿失”（3）部分用户采用一种叫作“arp防护”，就是网关每过一段时间按照一定的“频率”在内网发送正确网关“IP/MAC”面临问题如果发送的“频率”过快（每秒发送的ARP多）就会严重的消耗内网的资源（容易造成内网的堵塞），如果发送“频率”太慢（没有arp协议攻击发出来频率高）在arp防范上面没有丝毫的作用。最彻底的解决办法（4）arp是个“双头怪”要想彻底解决必须要“首尾兼顾”有两种方式可以实现第一 采用“看守式绑定”的方法，实时监控电脑ARP缓存，确保缓存内网关MAC和IP的正确对应。在arp缓存表里会有一个静态的绑定，如果受到arp的攻击，或只要有公网的请求时，这个静态的绑定又会自动的跳出，所以并不影响网络的正确的访问。这种方式是安全与网卡功能融合的一种表现，也叫作“终端抑制” 第二就是在网络接入架构上要有“安全和网络功能的融合”就是在接入网关做NAT的时候不是按照传统路由那样根据“MAC/IP”映射表来转发数据，而是根据他们在NAT表中的MAC来确定（这样就会是只要数据可以转发出去就一定可以回来）就算ARP大规模的爆发，arp表也混乱了但是并不会给我们的网络造成任何影响。（不看IP/MAC映射表）这种方法在现有控制ARP中也是最彻底的。也被称为是“免疫网络”的重要特征。
ARP协议工作原理
在任何时候，当主机或路由器有数据报要发送给另一个主机或路由器时，它必须有接收站的逻辑（IP）地址。但是IP数据报必须封装成帧才能通过物理网络。这就表示，发送站必须有接收站的物理地址。因此需要一个从逻辑地址到物理地址的映射。 如我们在前面讲过的，使用静态映射和动态映射都可以做到这点。逻辑地址和物理地址之间的关联可以静态的存储在一个表中，发送站可在表中查找出对应于逻辑地址的物理地址，但我们在前面已讨论过，这不是一个很好的解决方法。每当物理地址发生变化时，这个表就必须更新。频繁的在所有机器上对表进行更新是非常麻烦的任务。但这种映射可以做成为动态的，即发送站在需要时可以请求接收站宣布其物理地址。ARP就是为此目的而设计的。ARP将一个IP地址与其物理地址关连起来。在典型的物理网络上，如局域网，链路上的每一个设备通常是用写在NIC（网络接口卡）中的物理地址来标识。任何时候当主机或路由器需要找出另一个主机或路由器在此网络上的物理地址时，它就发送一个ARP查询分组。这个分组包括发送站的物理地址和IP地址，以及接收站的IP地址。因为发送站不知道接收站的物理地址，查询就在网络上广播。每一个在网络上的主机或路由器都接收和处理这个ARP查询分组，但只有目的接受者才识别其IP地址，并发回ARP响应分组。这个分组直接用单播发送给查询者，并使用接收到的查询分组中所用的物理地址。这里有一点要注意：每个ARP广播中都包含发送方的IP地址到物理地址的绑定；接收方在处理ARP分组之前，先更新它们缓存中的IP到物理地址的绑定信息。左边的系统（A）有一个分组要交付给IP地址为141.23.56.23的另一个系统（B）。系统A需要将分组传递给它的数据链路层进行实际的交付，但它不知道接收者的物理地址。它使用ARP的服务，请求ARP协议发送一个广播ARP请求分组，以查询IP地址为141.23.56.23的系统的物理地址。 在该物理网络上的每一个系统都接收到此分组，但只有系统B才回答。现在系统A就可以使用接收到的物理地址来发送所有的到此目的地的分组。

概述ARP，即地址解析协议，实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。另有电子防翻滚系统也称为ARP。 [编辑本段]地址解析协议　　 工作原理 在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“我是192.168.1.5，我的硬件地址是"FF.FF.FF.FF.FF.FE".请问IP地址为192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时A和B还同时都更新了自己的ARP缓存表（因为A在询问的时候把自己的IP和MAC地址一起告诉了B），下次A再向主机B或者B向A发送信息时，直接从各自的ARP缓存表里查找就可以了。ARP缓存表采用了老化机制（即设置了生存时间TTL），在一段时间内（一般15到20分钟）如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。RARP的工作原理：1. 发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址；2. 本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址；3. 如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；4. 如果不存在，RARP服务器对此不做任何的响应；5. 源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。6.如果在第1-3中被ARP病毒攻击，则服务器做出的反映就会被占用，源主机同样得不到RARP服务器的响应信息，此时并不是服务器没有响应而是服务器返回的源主机的IP被占用。数据结构[4]ARP协议的数据结构：typedef structarphdr{unsignedshortarp_hrd;/*硬件类型*/unsignedshortarp_pro;/*协议类型*/unsignedchararp_hln;/*硬件地址长度*/unsignedchararp_pln;/*协议地址长度*/unsignedshortarp_op;/*ARP操作类型*/unsignedchararp_sha[6];/*发送者的硬件地址*/unsignedlongarp_spa;/*发送者的协议地址*/unsignedchararp_tha[6];/*目标的硬件地址*/unsignedlongarp_tpa;/*目标的协议地址*/}ARPHDR,*PARPHDR;ARP和RARP报头结构ARP和RARP使用相同的报头结构，如图所示。报送格式硬件类型字段：指明了发送方想知道的硬件接口类型，以太网的值为1；协议类型字段：指明了发送方提供的高层协议类型，IP为0800（16进制）；硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用；操作字段：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4；发送方的硬件地址（0-2字节）：源主机硬件地址的前3个字节；发送方的硬件地址（3-5字节）：源主机硬件地址的后3个字节；发送方IP（0-1字节）：源主机硬件地址的前2个字节；ARP缓存表查看方法ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了，如附图所示。arp -a用“arp -d”命令可以删除ARP表中所有的内容；用“arp -d +空格+ <指定ip地址>” 可以删除指定ip所在行的内容 用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应，类型为static(静态)，此项存在硬盘中，而不是缓存表，计算机重新启动后仍然存在，且遵循静态优于动态的原则，所以这个设置不对，可能导致无法上网. [编辑本段]电子防翻滚系统　　ARP英文全称是Anti Rolling Program，即电子防翻滚功能。它通过感知车辆的位置，调节发动机扭矩及各车轮的制动力，从而防止车辆在高速急转弯等紧急状况时发生翻车状况。如雪佛兰科帕奇就标配了此系统。
ARP的内容和原理： ARP的全称是：Address Resolution Protocol，也就是地址解析协议。顾名思义，其主要作用就是“地址解析”，即通过目标设备的IP地址，查询目标地址的MAC地址。在局域网中，如果要在两台主机之间进行通信，就必须要知道目标主机的IP地址，但是起到传输数据的物理设备网卡并不能直接识别IP地址，只能识别其硬件地址MAC地址，MAC地址是一个全球唯一的序列号并由12个16进制数构成。主机之间的通信，一般都是网卡之间的通信，而网卡之间的通信都是根据对方的 MAC地址来进行工作的，而ARP协议就是一个将数据包中的IP地址转换为MAC地址的网络协议。ARP在局域网中的作用：而在规模越来越庞大的局域网中，存在上百台主机已经很普及，如何在这么多的主机的MAC地址中，快速又准确的记住每个网卡对应的IP地址和MAC地址的对应关系，这就要依靠一个存在于所有主机中的ARP缓存表来进行记录。例如局域网中有A、B两台主机并通过交换机相连接，当A需要给B所在的IP地址发送数据时，A就要先查找自己的ARP缓存表，看其中是否存在这个IP的MAC地址，如果有就直接发送。如果没有，那么A就要向整个局域网发送广播要求使用这个IP地址的主机进行响应，B收到广播后会向A返回一个响应信息，说明自己的MAC和A所要发送的IP地址是对应关系，而A收到B所返回的信息后会将这个 IP和MAC进行记录，以后如果要再发送信息，则可以从ARP缓存表中直接查找并发送。ARP病毒的危害：ARP缓存表记录了所有和和其宿主主机进行通讯过的其他电脑的MAC-IP对应关系，而漏洞也恰恰在此。如果局域网中的一台电脑进行欺骗性地使用自己的IP地址来冒充其他主机的MAC地址。比如：在B和C的通讯时，这时出现一台A机器，它告诉B说它就是C，结果B机器就认为它是C 了，并且在B的缓存中，原先C的IP地址被对应到了A的MAC上。于是，本来要从B发送到C的消息就被发送到A机器上了，A机器实际上就发起了一次ARP 欺骗。ARP病毒就是利用上述原理来对整个局域网来进行破坏，其中除了使其他电脑上不了网之外，还可以利用自身“帮”网关转发信息的特权给数据包添加病毒代码。比如，用户打开一个本来正常的网页，但是由于ARP病毒的存在，这个原本正常的网页会带上若干恶意连接，使用户感染上病毒。 ARP攻击时的主要现象：1、网上银行、游戏及QQ账号的频繁丢失一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通 过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。2、网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常当局域内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包，阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定。3、局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常 当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。
ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 ARP（AddressResolutionProtocol）地址解析协议用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）[RFC826]。ARP协议是属于链路层的协议，在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。当然，点对点的连接是不需要ARP协议的。为了解释ARP协议的作用，就必须理解数据在网络上的传输过程。这里举一个简单的PING例子。假设我们的计算机IP地址是192.168.1.1，要执行这个命令：ping192.168.1.2。该命令会通过ICMP协议发送ICMP数据包。该过程需要经过下面的步骤：1、应用程序构造数据包，该示例是产生ICMP包，被提交给内核（网络驱动程序）；2、内核检查是否能够转化该IP地址为MAC地址，也就是在本地的ARP缓存中查看IP-MAC对应表；3、如果存在该IP-MAC对应关系，那么跳到步骤9；如果不存在该IP-MAC对应关系，那么接续下面的步骤；4、内核进行ARP广播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令类型为REQUEST（1），其中包含有自己的MAC地址；5、当192.168.1.2主机接收到该ARP请求后，就发送一个ARP的REPLY（2）命令，其中包含自己的MAC地址；6、本地获得192.168.1.2主机的IP-MAC地址对应关系，并保存到ARP缓存中；7、内核将把IP转化为MAC地址，然后封装在以太网头结构中，再把数据发送出去；使用arp-a命令就可以查看本地的ARP缓存内容，所以，执行一个本地的PING命令后，ARP缓存就会存在一个目的IP的记录了。当然，如果你的数据包是发送到不同网段的目的地，那么就一定存在一条网关的IP-MAC地址对应的记录。 知道了ARP协议的作用，就能够很清楚地知道，数据包的向外传输很依靠ARP协议，当然，也就是依赖ARP缓存。要知道，ARP协议的所有操作都是内核自动完成的，同其他的应用程序没有任何关系。同时需要注意的是，ARP协议只使用于本网络。