[轉(zhuǎn)載]免費(fèi)ARP(gratuitous ARP)簡(jiǎn)介

corryzhu

免費(fèi)ARP(gratuitous ARP)簡(jiǎn)介
現(xiàn)在很多系統(tǒng)都使用雙機(jī)熱備份系統(tǒng)（即一個(gè)主用，另一個(gè)備用， 如果主用沒(méi)有問(wèn)題，備用一直處于空閑狀態(tài)；如果主用出現(xiàn)問(wèn)題，備用立刻接管）。假設(shè)主用服務(wù)器的MAC地址為：1111-1111-1111，備用服務(wù)器 的MAC地址為：2222-2222-2222，通過(guò)某種軟件，兩臺(tái)服務(wù)器對(duì)外共用一個(gè)IP，例如10.10.10.1，這樣客戶(hù)機(jī)在需要同服務(wù)器進(jìn)行通 信的時(shí)候（第一次通信時(shí)ARP的緩存是空的，或至少?zèng)]有10.10.10.1的MAC地址），先向局域網(wǎng)發(fā)送廣播ARP請(qǐng)求報(bào)文，請(qǐng)求 10.10.10.1這個(gè)IP地址的MAC地址，得到主用服務(wù)器響應(yīng)后，將10.10.10.1和對(duì)應(yīng)的MAC地址放入自己的ARP緩存中，然后向這個(gè) IP發(fā)送請(qǐng)求就可以進(jìn)行通信了。如果在通信的過(guò)程中，主用服務(wù)器突然發(fā)生故障，宕機(jī)了，這時(shí)備用服務(wù)器立刻接管10.10.10.1這個(gè)IP進(jìn)行服務(wù)，可 是剛才那臺(tái)客戶(hù)機(jī)的ARP緩存表中10.10.10.1這個(gè)IP對(duì)應(yīng)的MAC地址是1111-1111-1111，再往這個(gè)MAC地址發(fā)送數(shù)據(jù)包肯定是石 沉大海的，怎樣才能讓備用接管了服務(wù)之后立刻能起作用呢？
我們能想到的方法有兩種，一種就是在使用雙機(jī)熱備份系統(tǒng)，接管那個(gè)IP的時(shí)候，生成一個(gè)不依賴(lài)于任何一個(gè)主機(jī)的虛擬MAC地址，接管IP的同時(shí)也接管那個(gè) 虛擬的MAC地址，這樣客戶(hù)機(jī)不需要做任何更改動(dòng)作，ARP緩存表不變。另外一種就是在接管的同時(shí)，接管的服務(wù)器對(duì)外廣播一個(gè)ARP報(bào)文給所有主機(jī)，例如 在剛才的例子中，ARP廣播報(bào)文的數(shù)據(jù)字段中源IP地址是10.10.10.1，源MAC地址是2222-2222-2222，目的IP地址也是 10.10.10.1，目的MAC地址也是2222-2222-2222，IP報(bào)文的目的地址是FFFF-FFFF-FFFF，這樣讓所有的廣播網(wǎng)絡(luò)上的 主機(jī)接收該報(bào)文，并更新自己的ARP緩存表，已告知10.10.10.1這個(gè)IP的對(duì)應(yīng)MAC地址已經(jīng)變?yōu)?222-2222-2222，這樣，剛才的那 個(gè)客戶(hù)機(jī)就能正確地同服務(wù)器進(jìn)行通信了。
這種方法在大多數(shù)系統(tǒng)中已經(jīng)被采用，例如Cisco的HSRP技術(shù)中，虛擬出來(lái)的MAC地址是以0000.0c07.ac＋HSRP的group ID組成，并且限制局域網(wǎng)上不會(huì)存在不同應(yīng)用的相同Group ID，以確保局域網(wǎng)上不會(huì)重復(fù)MAC地址生成。在VRRP中也是如此，原理和HSRP同。這樣無(wú)論主備用如何切換，客戶(hù)機(jī)不需要做任何動(dòng)作。
第二種方法就是免費(fèi)ARP技術(shù)（gratuitous ARP），目前應(yīng)用也很廣泛。
免費(fèi)ARP的作用
目前，免費(fèi)ARP的作用有兩種。
第一種就是剛才上面所說(shuō)的宣告廣播的作用，以告訴整個(gè)廣播域，目前這個(gè)IP所對(duì)應(yīng)的MAC地址是什么。
第二種是看看廣播域內(nèi)有沒(méi)有別的主機(jī)使用自己的IP，如果使用了，則在界面上彈出“IP沖突”字樣。普通ARP請(qǐng)求報(bào)文廣播發(fā)送出去，廣播域內(nèi)所有主機(jī)都 接收到，計(jì)算機(jī)系統(tǒng)判斷ARP請(qǐng)求報(bào)文中的目的IP地址字段，如果發(fā)現(xiàn)和本機(jī)的IP地址相同，則將自己的MAC地址填寫(xiě)到該報(bào)文的目的MAC地址字段，并 將該報(bào)文發(fā)回給源主機(jī)。所以只要發(fā)送ARP請(qǐng)求的主機(jī)接收到報(bào)文，則證明廣播域內(nèi)有別的主機(jī)使用和自己相同的IP地址（這里不考慮路由器的ARP代理問(wèn) 題）。免費(fèi)ARP的報(bào)文發(fā)出去是不希望收到回應(yīng)的，只希望是起宣告作用；如果收到回應(yīng)，則證明對(duì)方也使用自己目前使用的IP地址。
在所有網(wǎng)絡(luò)設(shè)備（包括計(jì)算機(jī)網(wǎng)卡）up的時(shí)候，都會(huì)發(fā)送這樣的免費(fèi)ARP廣播，以宣告并確認(rèn)有沒(méi)有沖突。
下面舉一個(gè)免費(fèi)arp報(bào)文的例子。
報(bào)文如下
0000 ff ff ff ff ff ff 00 00 5e 00 01 ea 08 06 00 01
0010 08 00 06 04 00 01 00 00 5e 00 01 ea 86 4a ea 01
0020 00 00 5e 00 01 ea 86 4a ea 01 00 00 00 00 00 00
0030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
0040 00 00 00 00
報(bào)文中前48位是報(bào)文發(fā)送的目的MAC地址。
ff ff ff ff ff ff說(shuō)明前48位都為1，表示這是一個(gè)局域網(wǎng)廣播地址；
00 00 5e 00 01 ea是數(shù)據(jù)包發(fā)送的源MAC地址；
08 06表示為數(shù)據(jù)包類(lèi)型為arp數(shù)據(jù)包；
00 01表示這是一個(gè)以太網(wǎng)數(shù)據(jù)包；
08 00表示為IP協(xié)議，6是硬件地址長(zhǎng)度，4為協(xié)議地址長(zhǎng)度；
00 01表示是ARP請(qǐng)求報(bào)文；
00 00 5e 00 01 ea發(fā)送者M(jìn)AC地址；
86 4a ea 01（轉(zhuǎn)換成十進(jìn)制是134.74.234.1）是發(fā)送者的協(xié)議地址（由于協(xié)議是IP，所以這是IP地址）；
86 4a ea 01是被請(qǐng)求的協(xié)議地址（可以看到請(qǐng)求的地址就是自身的IP地址）；
00 00 5e 00 01 ea是被請(qǐng)求的MAC地址，正常情況下，如果不是免費(fèi)ARP，這里應(yīng)該為全0，在響應(yīng)的時(shí)候，由目的主機(jī)來(lái)填寫(xiě)，但是在免費(fèi)ARP的請(qǐng)求報(bào)文中，這里已經(jīng)自動(dòng)填寫(xiě)上自身的MAC地址。
免費(fèi)ARP的漏洞及防范
根據(jù)上述第一種作用能發(fā)現(xiàn)免費(fèi)ARP帶來(lái)的漏洞，因?yàn)槟壳暗木钟蚓W(wǎng)上都沒(méi)有安全的認(rèn)證系統(tǒng)，所以任何主機(jī)都可以發(fā)送這樣的免費(fèi)ARP廣播，這樣就會(huì)出現(xiàn) MAC地址欺騙。假如某銀行系統(tǒng)局域網(wǎng)內(nèi)有服務(wù)器A，客戶(hù)機(jī)B和客戶(hù)機(jī)C，客戶(hù)機(jī)B正在向服務(wù)器提交當(dāng)天的信用卡消費(fèi)和賬號(hào)信息（通過(guò)某種安全通信機(jī)制進(jìn) 行通信，確�？蛻�(hù)機(jī)C是無(wú)法接收到兩者之間傳輸?shù)臄?shù)據(jù)包的），這時(shí)客戶(hù)機(jī)C（攻擊者）向局域網(wǎng)內(nèi)發(fā)送了一個(gè)免費(fèi)ARP廣播，其源IP地址為服務(wù)器A的地 址，源MAC地址為客戶(hù)機(jī)C自己的MAC地址。客戶(hù)機(jī)B收到這樣的報(bào)文后，會(huì)將自己ARP緩存中服務(wù)器A的MAC地址改為客戶(hù)機(jī)C的MAC地址，這就形成 了MAC地址欺騙，這樣客戶(hù)機(jī)B會(huì)將所有該發(fā)給服務(wù)器A的信息都發(fā)送給客戶(hù)機(jī)C，C在通過(guò)抓包分析就知道了很多不該知道的信息。通常為了確保A不再發(fā)送信 息給B以改變B的ARP緩存里A的IP對(duì)應(yīng)的MAC地址，C可以通過(guò)其他手段先將A工具癱瘓。這樣就放心大膽地進(jìn)行欺騙了。這是至今都很流行的攻擊手段之 一。
目前針對(duì)該攻擊沒(méi)都有很好的防范手段，當(dāng)前使用的方法有：
1. 設(shè)置MAC地址和IP地址綁定。
2. 將交換機(jī)上某些端口設(shè)置為信任端口，來(lái)自這些端口的請(qǐng)求認(rèn)為是可靠的，予以轉(zhuǎn)發(fā)，其他的不轉(zhuǎn)發(fā)。
其實(shí)我們很多設(shè)備的漏洞都是這樣產(chǎn)生的，為了解決一個(gè)問(wèn)題，引入一項(xiàng)新的機(jī)制，但是通常由于缺乏全面的系統(tǒng)分析機(jī)制，沒(méi)能對(duì)該項(xiàng)技術(shù)進(jìn)行全方位的論證和考慮，導(dǎo)致了該技術(shù)存在一定的缺陷，引起系統(tǒng)的故障，然后在后繼的過(guò)程中，只有通過(guò)打補(bǔ)丁或再引入其他機(jī)制進(jìn)行預(yù)防。

本文來(lái)自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u/28303/showart_2126816.html