免費ARP應用探討

原文發表于《網絡安全和信息化》2017年第5期，轉發于博客。

更多相關資料可參看視頻教程“局域網安全實戰”，http://edu.51cto.com/course/10348.html 

在高職“信息安全管理與評估”技能大賽2016年的比賽試題中，有一道題目是要求在交換機上配置Gratuitous ARP（免費ARP），來抵御針對網關的ARP欺騙***。通常情況下，免費ARP主要用于檢測IP地址沖突，囿于知識面，本人對免費ARP還可以防范ARP欺騙***這部分內容不甚了解，所以就查閱了相關資料，并搭建了實驗環境進行驗證，本文就將相關心得與大家分享和探討。

1.    免費ARP的作用

ARP報文有兩種類型：一種是由發送方發出的ARP Request廣播報文，另一種是由接收方返回的ARP Reply單播報文。免費ARP（Gratuitous ARP）采用的是ARP Request廣播報文，但它的目的并不是要解析某個IP地址所對應的MAC地址，在這種ARP報文中，目的IP地址和源IP地址都是同一個，也就是發出免費ARP報文的主機IP地址。如圖1所示就是用Wireshark抓取的免費ARP報文內容。

圖 1免費ARP報文內容

免費ARP的作用主要有兩個：一是用于IP地址沖突檢測，二是用于更新ARP地址緩存表中的原有記錄。下面分別予以說明。

2.    IP地址沖突檢測

免費ARP的主要作用就是用于判斷當前主機所設置的IP地址是否已被別的主機所使用，當免費ARP報文以廣播的方式發送到網絡中之后，如果有某臺主機使用了當前主機的IP地址，那么它就會發回一個ARP響應，這樣當前主機就會發出IP地址沖突的警告，我們也可以得知沖突主機的MAC地址。

所以對于一臺使用靜態IP地址的主機，如果重新設置IP地址，那么就必然要先發送一個免費ARP的廣播，這點可以通過Wireshark抓包確認，在Wireshark的顯示過濾器中設置過濾條件為arp，抓取到的免費ARP報文如圖2所示。

圖 2免費ARP報文

3.    更新ARP地址緩存表中的原有記錄

當某臺主機的MAC地址發生變化時，即IP地址不變，MAC地址改變，比如主機更換了網卡，這時這臺主機也會發送免費ARP廣播。網絡中所有ARP緩存表中具有所對應條目的主機（注意并非是所有主機），將會根據免費ARP報文來更新自己的緩存表。

這點可以通過實驗驗證，網絡中有三臺主機，A主機的IP地址為192.168.80.77，MAC為00:0C:29:81:BA:30，在B主機中與A主機通信，使得B主機的ARP地址緩存表中產生相應記錄：

192.168.80.77          00-0C-29-81-BA-30     dynamic

然后在A主機上利用科來數據包生成器構造一個免費ARP報文，故意將源MAC地址修改為另一個不同的地址00:0C:29:81:BA:88，然后將報文以廣播的形式發送出去，如圖3所示。

圖 3 構造的免費ARP報文

此時B主機的ARP緩存表將據此更新：

192.168.80.77          00-0C-29-81-BA-88     dynamic

而C主機由于一直沒有與A主機通信，緩存表中沒有相應條目，因而也就不會產生新的條目。其實這種設計的目的也很好理解，如果C主機要與A主機通信，那么它自然會通過正常的ARP請求解析出主機A目前的MAC地址，因而主機A也就沒有必要利用免費ARP通知主機C來更新ARP地址緩存表。

4.    利用免費ARP來防范ARP***

在交換機上通過設置免費ARP來防御ARP***，應該是利用了免費ARP的第二點特性。一般情況下，交換機上VLAN的IP地址也就是該網段內主機的默認網關，因而交換機可以定期的在網絡中廣播免費ARP，使得網絡中的所有主機都根據免費ARP來更新自己的ARP地址緩存表，將網關IP地址對應到正確的MAC地址，從而防止針對網關的ARP欺騙。

但是這種防御方式的思維很奇特，它并非要從根源上去阻止ARP欺騙***，而是通過免費ARP報文去跟ARP欺騙報文展開競爭，所有這種防御方式的效果如何就要打上個大大的問號了。在網上查找了一些相關資料，很少有提到用免費ARP去防范ARP***的，反倒是有不少資料提到如何利用免費ARP去進行ARP欺騙***，其實這倒是一種很好的思路。

整體來看，高職2016年度“信息安全管理與評估”技能大賽中的很多試題出的并不高明，本人也僅是從技術的角度提出一些個人的觀點，希望能與大家共同探討。當然單純從參加比賽的角度，這道題目的答案是很簡單的，只需要在比賽所使用的神州數碼DCRS交換機上執行下面這兩條命令，就可以在交換機上配置免費ARP：

DCRS_A(config)#interface vlan1

DCRS_A(config-if-vlan1)#ip gratuitous-arp

但是配置之后，不清楚交換機多長時間廣播一次免費ARP，這點也沒能在交換機的配置手冊中查找到相關說明。