ARP協議具體解釋之Gratuitous ARP(免費ARP)
Gratuitous ARP(免費ARP)
Gratuitous ARP也稱為免費ARP。無故ARP。Gratuitous ARP不同於一般的ARP請求,它並不是期待得到IP相應的MAC地址,而是當主機啟動的時候,將發送一個Gratuitous arp請求,即請求自己的IP地址的MAC地址。
免費ARP的產生
免費ARP數據包是主機發送ARP查找自己的IP地址。
通常。它發生在系統引導期間進行接口配置的時候。這里能夠使用Wireshark捕獲主機啟動時候的數據,以驗證是否發送Gratutious arp數據包。
這里捕獲到的數據包,如圖1.21所看到的。
圖1.21 Gratuitous ARP包
從該界面能夠看到第44、45、47數據包都是Gratuitous ARP包。
免費ARP的作用
免費ARP有兩個方面的作用。分別例如以下所看到的:
1.驗證IP是否沖突
一個主機能夠通過它來確定還有一個主機是否設置了同樣的IP地址。發送主機並不須要一定收到此請求的回答。假設收到一個回答,表示網絡中存在與自身IP同樣的主機。假設沒有收到應答,則表示本機所使用的IP與網絡中其他主機並不沖突。
【實例1-176】通過使用Wireshark捕獲數據包,分析是否有IP沖突的情況。
實驗環境如圖1.22所看到的。
圖1.22 驗證IP是否沖突
(1)在主機A上配置一個IP地址為192.168.7.8。然后又一次啟動主機A。
(2)在主機A啟動時。這里也將主機B的IP地址改動為192.168.7.8。
(3)此時看Wireshark獲取到的數據包,如圖1.23所看到的。
圖1.23 免費ARP包
從該界面主要分析91、92幀。例如以下所看到的:
(1)從91幀中能夠看到MAC地址為00:23:8b:c4:05:bf的主機(主機A),向這個局域網發送免費ARP廣播包。告訴局域網中全部的主機,它請求使用192.168.7.8。
(2)92幀表示MAC地址為00:19:21:3f:c3:e5的主機(主機B),向整個局域網發送ARP廣播包。告訴局域網中全部的主機。192.168.7.8的MAC地址是00:19:21:3f:c3:e5(主機B)。意思是主機B已經使用了192.168.7.8。
從這兩個數據包,能夠看出主機B響應了主機A發送的免費ARP包,表示網絡中存在與A有同樣IP的主機。所以A主機啟動后。將會看到如圖1.24所看到的的窗體。
圖1.24 IP沖突提示
從該窗體的提示信息中能夠看到本機的IP地址與網絡上其它系統的IP地址沖突。
2.更換物理網卡
假設發送ARP的主機正好改變了物理地址(如更換物理網卡),能夠使用此方法通知網絡中其他主機及時更新ARP緩存。
【實例1-18】以下驗證更換物理網卡后,發送免費ARP的請求包。詳細操作過程例如以下所看到的:
本例中使用的實驗環境,如圖1.25所看到的。
在該環境中。主機A和主機B的IP、MAC地址已經標出。在實驗之前這兩台主機已經能正常通行,也就是說它們分別有對方的ARP條目。當中,主機A的操作系統為Kali Linux;主機B為Windows 7。
圖1.25 驗證免費ARP
(1)查看主機A的ARP緩存表。運行命令例如以下所看到的:
-
root@kali:~# arp
-
Address HWtype HWaddress Flags Mask Iface
-
192.168.1.2 ether 00:23:8b:c4:05:bf C eth0
從輸出的信息中,能夠看到該緩存表中有一條ARP條目。當中IP地址為192.168.1.2。MAC地址為00:23:8b:c4:05:bf。
(2)改動主機B的MAC地址。
例如以下所看到的:
在桌面上右鍵單擊“網絡”|“屬性”,打開網絡和共享中心。在該界面單擊“更改適配器設置”命令。將顯示如圖1.26所看到的。
圖1.26 網絡連接 圖1.27 本地連接 屬性
在該界面右鍵單擊“本地連接”|“屬性”。將顯示如圖1.27所看到的的界面。
在該界面單擊“配置”button,將顯示如圖1.28所看到的的界面。在該界面選擇“高級”選項卡。如圖1.29所看到的。
圖1.28 Realtek PCLe GBE Family Controller屬性 圖1.29 高級設置
在該界面的屬性一覽中找到“網絡地址”(有的系統是Locally Administered Address或Network Address),然后單擊“值”,並輸入要更改的MAC地址(這里輸入的MAC地址間不須要使用“-”符號)。
(3)查看Wireshark捕獲的數據包,如圖1.30所看到的。
圖1.30 免費ARP廣播包
從該界面能夠看到有三個免費ARP包,各自是11、15、18。
這三個包都是MAC地址為00:19:21:3f:c3:e4的主機向局域網中其他主機發送的免費ARP包,告訴其他主機它將使用192.168.1.2的IP地址。免費ARP包中的數據,如圖1.31所看到的。
圖1.31 免費ARP廣播包
從該界面能夠看到第三行信息為ARP協議(請求/免費ARP)信息。從中能夠查看的發生方的MAC地址、IP地址及目標MAC地址、IP地址。這里的目標MAC地址是00:00:00:00:00:00,表示這是一個ARP廣播請求。局域網中其他的計算機都會收到。假設有某主機中記錄了相關該地址的ARP條目將會被更新。
(4)查看主機中的ARP緩存表。
例如以下所看到的:
-
root@kali:~# arp
-
Address HWtype HWaddress Flags Mask Iface
-
192.168.1.2 ether 00:19:21:3f:c3:e4 C eth0
從輸出的信息中能夠看到,地址為192.168.1.2的ARP條目的MAC地址更新為00:19:21:3f:c3:e4。
本文選自:ARP協議全面實戰手冊——協議具體解釋、攻擊與防御大學霸內部資料,轉載請注明出處。尊重技術尊重IT人!