地址解析协议ARP和逆地址解析协议RARP

地址解析协议ARP

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。解决的是同一个局域网上的问题。

RAP报文格式：





硬件类型：指明了发送方想知道的硬件接口类型，以太网的值为1；

协议类型：指明了发送方提供的高层协议类型，IP为0800（16进制）；

硬件地址长度:指明了硬件地址的长度,这样ARP报文就可以在任意硬件的网络中使用；

协议长度：高层协议地址的长度，这样ARP报文就可以在任意协议的网络中使用；

操作类型：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4；

发送方硬件地址（0-3字节）：源主机硬件地址的前3个字节；

发送方硬件地址（4-5字节）：源主机硬件地址的后3个字节；

发送方IP地址（0-1字节）：源主机硬件地址的前2个字节；

发送方IP地址（2-3字节）：源主机硬件地址的后2个字节；

目标硬件地址（0-1字节）：目的主机硬件地址的前2个字节；

目标硬件地址（2-5字节）：目的主机硬件地址的后4个字节；

目标IP地址（0-3字节）：目的主机的IP地址。

代理ARP：（Proxy ARP，也被称作混杂ARP（Promiscuous ARP）[9-10] ）工作在不同的网段间，一般被像路由器这样的设备使用，用来代替处于另一个网段的主机回答本网段主机的ARP请求。



ARP缓存：是个用来储存IP地址和MAC地址的缓冲区，里面有本局域网上的各主机和路由器的IP地址到硬件地址的映射表。，每一项的生存时间一般为20分钟。

工作过程：

（0）先在A主机的缓存中查找，如无对应的映射，则启用进行下一步。

（1）ARP进程在本局域网上广播发送一个ARP请求分组。

（2）在本局域网上的所有主机上运行的RAP进程都收到此ARP请求分组。

（3）主机B在ARP请求分组中见到自己的IP地址，就向主机A发送ARP响应分组，并将A的IP到MAC的映射写入自己的ARP缓存。其他主机将忽略此分组。

（4）主机A收到主机B的ARP响应后，就在ARP缓存中写入主机B的IP到MAC的映射。



ARP欺骗：

ARP请求为广播形式发送的，网络上的主机可以自主发送ARP应答消息，并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表，这样攻击者就可以向目标主机发送伪ARP应答报文，从而篡改本地的MAC地址表。 ARP欺骗可以导致目标计算机与网关通信失败，更会导致通信重定向，所有的数据都会通过攻击者的机器。

攻击详列链接：http://netsecurity.51cto.com/art/200609/31745.htm

NDP：

地址解析协议是IPv4中必不可少的协议，但在IPv6中将不再存在地址解析协议。在IPv6中，地址解析协议的功能将由NDP（邻居发现协议，Neighbor Discovery Protocol）实现，它使用一系列IPv6控制信息报文（ICMPv6）来实现相邻节点（同一链路上的节点）的交互管理，并在一个子网中保持网络层地址和数据链路层地址之间的映射。邻居发现协议中定义了5种类型的信息：路由器宣告、路由器请求、路由重定向、邻居请求和邻居宣告。与ARP相比，NDP可以实现路由器发现、前缀发现、参数发现、地址自动配置、地址解析（代替ARP和RARP）、下一跳确定、邻居不可达检测、重复地址检测、重定向等更多功能。

逆地址解析协议RARP

RARP格式：同RAP的格式。

DHCP已经包含RARP协议的功能，即现如今无人再单独使用RARP协议了。