入门ARP协议

ARP协议

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址（mac地址）的一个TCP/IP协议。

工作原理

主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。

工作过程

现在有两个主机：

• 主机A的IP地址为192.168.1.1，MAC地址为0A-11-22-33-44-01；
• 主机B的IP地址为192.168.1.2，MAC地址为0A-11-22-33-44-02；

当主机A要与主机B通信时，地址解析协议可以将主机B的IP地址（192.168.1.2）解析成主机B的MAC地址，以下为工作流程：

第1步：根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。

第2步：如果主机A在ARP缓存中没有找到映射，它将询问192.168.1.2的硬件地址，从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。

第3步：主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。

第4步：主机B将包含其MAC地址的ARP回复消息直接发送回主机A。

第5步：当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的，生存期结束后，将再次重复上面的过程。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了。

常用命令

1、arp -a：显示本地ARP缓存表。该命令将显示计算机中存储的已解析IP地址和相应的MAC地址。这对于查看计算机与其他设备之间的网络连接非常有用。

2、arp -d ：删除指定IP地址的ARP缓存项。使用该命令可以清除指定IP地址的ARP缓存，当你需要更新某个设备的MAC地址时，可以使用这个命令。

3、arp -s ：添加静态ARP缓存项。使用该命令可以手动添加一个静态的ARP缓存项，将指定的IP地址映射到对应的MAC地址。这在一些特定的网络环境中可能会被使用到。

4、arp -d：清除本地ARP缓存表。使用该命令可以清除计算机中存储的所有ARP缓存项。当你遇到网络连接问题时，可以尝试清除ARP缓存来解决问题。

5、arp -g：与arp -a相同，显示本地ARP缓存表。在某些操作系统中，可以使用arp -g命令来显示ARP缓存表。

6、arp -n：显示本地ARP缓存表，但不解析主机名。使用该命令可以显示ARP缓存表，但不会尝试解析主机名。这在某些情况下可能更加高效。

安全：ARP欺骗

例如某一的IP地址是192.168.0.254，其MAC地址为00-11-22-33-44-55，网络上的计算机内ARP表会有这一笔ARP记录。攻击者发动攻击时，会大量发出已将192.168.0.254的MAC地址篡改为00-55-44-33-22-11的ARP数据包。那么网络上的计算机若将此伪造的ARP写入自身的ARP表后，计算机若要透过网上网关连到其他计算机时，数据包将被导到00-55-44-33-22-11这个MAC地址，因此攻击者可从此MAC地址截收到数据包，可篡改后再送回真正的网关，或是什么也不做，让网上无法连线。

解决：
1、最理想的防制方法是网上内的每台计算机的ARP一律改用静态的方式，不过这在大型的网上是不可行的，因为需要经常更新每台计算机的ARP表。
2、另外一种方法，例如DHCP snooping，网上设备可借由DHCP保留网络上各计算机的MAC地址，在伪造的ARP数据包发出时即可侦测到。此方式已在一些厂牌的网上设备产品所支持。
3、有一些软件可监听网络上的ARP回应，若侦测出有不正常变动时可发送邮箱通知管理者。例如UNIX平台的Arpwatch以及Windows上的XArp v2或一些网上设备的Dynamic ARP inspection功能。

应用：检测酒店摄像头

只能针对哪种要联网的，并且联网是通过酒店 wifi 的，而不是插 4G 流量卡的，当然这种摄像头一般是最多的。

首先我们连上酒店房间 wifi，执行 arp -a，可以看到局域网的所有设备的 mac 地址，就可以发现是否有可疑设备了，发现之后可以用以下网站查询 mac 地址对应的厂商之类的
https://mac.bmcx.com/

RARP

和ARP想反，是通过mac地址找ip地址。

首先是查询主机向网路送出一个RARP Request广播封包，向别的主机查询自己的IP地址。这时候网络上的RARP服务器就会将发送端的IP地址用RARP Reply封包回应给查询者，这样查询主机就获得自己的IP地址了。

代理ARP

和ARP一样，但是地址解析协议工作不在一个网段中

例如，主机PC1（192.168.20.66/24）需要向主机PC2（192.168.20.20/24）发送报文，因为主机PC1不知道子网的存在且和目标主机PC2在同一主网络网段，所以主机PC1将发送ARP协议请求广播报文请求192.168.20.20的MAC地址。这时，路由器将识别出报文的目标地址属于另一个子网（注意，路由器的接口IP地址配置的是28位的掩码），因此向请求主机回复自己的硬件地址（0004.dd9e.cca0）。之后，PC1将发往PC2的数据包都发往MAC地址0004.dd9e.cca0（路由器的接口E0/0），由路由器将数据包转发到目标主机PC2。（接下来路由器将为PC2做同样的代理发送数据包的工作）。代理ARP协议使得子网化网络拓扑对于主机来说时透明的（或者可以说是路由器以一个不真实的PC2的MAC地址欺骗了源主机PC1）。

NDP

ARP 是在 IPv4中使用的，而NDP相当于 IPv6 中的 ARP

• IPv4中地址解析协议是独立的协议，负责IP地址到MAC地址的转换，对不同的数据链路层协议要定义不同的地址解析协议。IPv6中NDP包含了ARP的功能，且运行于因特网控制信息协议ICMPv6上，更具有一般性，包括更多的内容，而且适用于各种数据链路层协议；
• 地址解析协议以及ICMPv4路由器发现和ICMPv4重定向报文基于广播，而NDP的邻居发现报文基于高效的组播和单播。