d2server:/home/kerberos# arp Address HWtype HWaddress Flags Mask Iface 211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0 |
Address:主機的IP地址
Hwtype:主機的硬件類型
Hwaddress:主機的硬件地址
Flags Mask:記錄標志,"C"表示arp高速緩存中的條目,"M"表示靜態的arp條目。
用"arp --a"命令可以顯示主機地址與IP地址的對應表,也就是機器中所保存的arp緩存信息。這個高速緩存存放了最近Internet地址到硬件地址之間的映射記錄。高速緩存中每一項的生存時間一般為20分鐘,起始時間從被創建時開始算起。
d2server:/home/kerberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0 |
可以看到在緩存中有一條211.161.17.254相對應的arp緩存條目。
d2server:/home/kerberos# telnet 211.161.17.21 Trying 211.161.17.21... Connected to 211.161.17.21. Escape character is '^]'. ^]. telnet>quit connetion closed. |
在執行上面一條telnet命令的同時,用tcpdump進行****:
d2server:/home/kerberos# tcpdump -e dst host 211.161.17.21 tcpdump: listening on eth0 |
我們將會聽到很多包,我們取與我們arp協議相關的2個包:
1 0.0 00:D0:F8:0A:FB:83 FF:FF:FF:FF:FF:FF arp 60 who has 211.161.17.21 tell d2server 2 0.002344(0.0021)00:E0:3C:43:0D:24 00:D0:F8:0A:FB:83 arp 60 arp reply 211.161.17.21 is at 00:E0:3C:43:0D:24 |
在第1行中,源端主機(d2server)的硬件地址是00:D0:F8:0A:FB:83。目的端主機的硬件地址是FF:FF:FF:FF:FF:FF,這是一個以太網廣播地址。電纜上的每個以太網接口都要接收這個數據幀并對它進行處理。
第1行中緊接著的一個輸出字段是arp,表明幀類型字段的值是0x0806,說明此數據幀是一個ARP請求或回答。
在每行中,單詞后面的值60指的是以太網數據幀的長度。由于ARP請求或回答的數據幀長都是42字節(28字節的ARP數據,14字節的以太網幀頭),因此,每一幀都必須加入填充字符以達到以太網的最小長度要求:60字節。
第1行中的下一個輸出字段arp who-has表示作為ARP請求的這個數據幀中,目的I P地址是211.161.17.21的地址,發送端的I P地址是d2server的地址。tcpdump打印出主機名對應的默認I P地址。
從第2行中可以看到,盡管ARP請求是廣播的,但是ARP應答的目的地址卻是211.161.17.21(00:E0:3C:43:0D:24)。ARP應答是直接送到請求端主機的,而是廣播的。tcpdump打印出arp reply的字樣,同時打印出響應者的主機ip和硬件地址。
在每一行中,行號后面的數字表示tcpdump收到分組的時間(以秒為單位)。除第1行外,每行在括號中還包含了與上一行的時間差異(以秒為單位)。
這個時候我們再看看機器中的arp緩存:
d2server:/home/ke rberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0 (211.161.17.21) at 00:E0:3C:43:0D:24 [ether] on eth0 |
arp高速緩存中已經增加了一條有關211.161.17.21的映射。
再看看其他的arp相關的命令:
d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 d2server:/home/kerberos# arp Address HWtype HWaddress Flags Mask Iface 211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0 211.161.17.21 ether 00:00:00:00:00:00 CM eth0 d2server:/home/kerberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0 (211.161.17.21) at 00:00:00:00:00:00 [ether] PERM on eth0 |
可以看到我們用arp -s選項設置了211.161.17.21對應的硬件地址為00:00:00:00:00:00,而且這條映射的標志字段為CM,也就是說我們手工設置的arp選項為靜態arp選項,它保持不變沒有超時,不像高速緩存中的條目要在一定的時間間隔后更新。
如果想讓手工設置的arp選項有超時時間的話,可以加上temp選項
d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 temp d2server:/home/kerberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0 (211.161.17.21) at 00:00:00:00:00:00 [ether] on eth0 d2server:/home/kerberos# arp Address HWtype HWaddress Flags Mask Iface 211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0 211.161.17.21 ether 00:00:00:00:00:00 C eth0 |
可以看到標志字段的靜態arp標志"M"已經去掉了,我們手工加上的是一條動態條目。
請大家注意arp靜態條目與動態條目的區別。
在不同的系統中,手工設置的arp靜態條目是有區別的。在linux和win2000中,靜態條目不會因為偽造的arp響應包而改變,而動態條目會改變。而在win98中,手工設置的靜態條目會因為收到偽造的arp響應包而改變。
如果您想刪除某個arp條目(包括靜態條目),可以用下面的命令:
d2server:/home/kerberos# arp -d 211.161.17.21 d2server:/home/kerberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0 (211.161.17.21) at on eth0 |
可以看到211.161.17.21的arp條目已經是不完整的了。
還有一些其他的命令,可以參考linux下的man文檔:d2server:/home/kerberos# man arp
3、ARP欺騙
我們先復習一下上面所講的ARP協議的原理。在實現TCP/IP協議的網絡環境下,一個ip包走到哪里,要怎么走是靠路由表定義,但是,當ip包到達該網絡后,哪臺機器響應這個ip包卻是靠該ip包中所包含的硬件mac地址來識別。也就是說,只有機器的硬件mac地址和該ip包中的硬件mac地址相同的機器才會應答這個ip包,因為在網絡中,每一臺主機都會有發送ip包的時候,所以,在每臺主機的內存中,都有一個 arp--> 硬件mac 的轉換表。通常是動態的轉換表(該arp表可以手工添加靜態條目)。也就是說,該對應表會被主機在一定的時間間隔后刷新。這個時間間隔就是ARP高速緩存的超時時間。
通常主機在發送一個ip包之前,它要到該轉換表中尋找和ip包對應的硬件mac地址,如果沒有找到,該主機就發送一個ARP廣播包,于是,主機刷新自己的ARP緩存。然后發出該ip包。
了解這些常識后,現在就可以談在以太網絡中如何實現ARP欺騙了,可以看看這樣一個例子。
3.1 同一網段的ARP欺騙
