ARP协议及其安全性分析
姓名：杨帆学号：2011210518
一，利用wireshark进行抓包，查看数据包内容和结构，分析ARP协议。

1，通过命令行，查看本机IP地址及MAC地址
结果如下图：
如上图所示，WLAN下，本机MAC地址是74:e5:0b:49:1E:56；本机IP为10.8.166.31(教二连接BUPT2)
2.清除arp缓存
3.使用ping命令连接局域网内主机
4.使用wireshark抓取数据包，查看本机请求。

5.分析数据包结构
arp数据包结构如下图：
抓取的请求数据包如下图：
从图中可以看出以下信息：
（1）目的MAC地址是全1，说明这是一个广播包（broadcast）
（2）源MAC地址74:e5:0b:49:1E:56，说明此ARP包由本机发出
（3）帧类型为0x0806，表示这是ARP包（IP包是0x0800）
（4）硬件类型是0x0001（以太网），协议类型是0x0800(IP协议)，硬件地址长度为6（即MAC地址长度），协议地址长度为4（IPv4），该数据包为request类型（0x0001）
（5）发送者MAC地址：74:e5:0b:49:1E:56
（6）发送者IP为10.8.166.31，证明ARP数据包由本机发出
（7）接受者硬件地址全零，表示此ARP数据包为广播包（ARP回复者未知）；
（8）所请求的IP地址为10.8.183.80
6.抓取对本机发出请求的回复数据包
7.分析回复数据包的内容
从图中可以看出以下信息：
（1）目的MAC地址是74:e5:0b:49:1E:56，说明这是由源主机发送给本机的数据包
（2）源MAC地址34:23:ba:f5:3a:9f，说明MAC地址为34:23:ba:f5:3a:9f的主机接收到本机发出的广播数据包后向本机发出回复数据包
（3）帧类型为0x0806，表示这是ARP包（IP包是0x0800）
（4）硬件类型是0x0001（以太网），协议类型是0x0800(IP协议)，硬件地址长度为6（即MAC地址长度），协议地址长度为4（IPv4），该数据包为reply类型（0x0002）
（5）发送者MAC地址：34:23:ba:f5:3a:9f
（6）发送者IP为10.8.183.80，证明ARP数据包由本机请求的主机发出
（7）接受者硬件地址74:e5:0b:49:1E:56，表示此ARP数据包向本机特定发出，源主机从接收到的request数据包中得知本机MAC地址
（8）所请求的IP地址为10.8.166.31，为本机IP地址
8．ARP协议原理
ARP协议用来在只知道IP地址的情况下去发现设备的硬件地址（Media Access Control, MAC地址），其设计目的是用于不同的物理网络层。

当发出请求的设备（源主机）不知道目标（目的主机）的MAC地址，它就会使用以太广播包给网络上的每一台设备发送ARP请求，当一台设备收到一个ARP请求数据包时，它用它自己的IP地址与包头部的IP地址比对，若匹配，该设备（目的主机）就会回送一个ARP回应数据包给源主机，该数据包不是广播包，当源主机收到ARP回应后，它会把结果存放在缓冲区内。

只要设备给缓冲区中的某目标发送数据，缓冲区就是有效的，这样有助于减少网络上广播包的数量。

若设备暂停发送数据，那么缓冲区会在一定时间（一般是5分钟）后清除该条MAC-IP 的对应关系项。

二，分析ARP协议存在的安全威胁
当攻击者发现一个ARP请求，用无效的ARP应答回应。

这能造成ARP缓冲区中填满错误信息。

由于ARP请求是广播包，因此网络中的每个设备都将发现这个请求。

攻击者需要在真正的ARP应答到达以前，向受害者发送ARP应答。

一些主机将探测到因相互冲突的结果导致多个ARP应答，并标识为警告。

攻击的结果是一个无效的MAC地址被放到受害者的ARP缓冲区中，这将阻止受害者与目标设备之间的通信。

另一个结果是在攻击者发送带有MAC地址的虚假ARP应答给另一个攻击者，造成收到这个ARP应答的主机把数据包发送到错误的主机，这常常被称为ARP缓冲区中毒。

ARP欺骗就是上述威胁的一个实例。

黑客等通过截获网关数据，并通知路由器一系列
错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

或是伪造网关，建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。

在PC看来，就是上不了网了，“网络掉线了”。

一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。