探討免費(fèi)ARP數(shù)據(jù)包

免費(fèi)ARP數(shù)據(jù)包對(duì)于網(wǎng)絡(luò)管理者來(lái)說(shuō)并不陌生，檢測(cè)IP沖突這是大家熟知的一個(gè)功能，但隨著Windows系統(tǒng)的不斷升級(jí)，其報(bào)文的格式在發(fā)生變化，而且ARP的應(yīng)用也不僅是IP沖突檢測(cè)這么簡(jiǎn)單。

圖1 源IP和目的IP都是發(fā)送主機(jī)的IP

圖2 源IP為0.0.0.0，目的IP都是發(fā)送主機(jī)的IP

免費(fèi)ARP數(shù)據(jù)包的認(rèn)識(shí)

免費(fèi)ARP包是標(biāo)準(zhǔn)ARP請(qǐng)求包的特例，目的MAC地址仍是二層廣播地址FF-FFFF-FF-FF-FF，源 MAC地址是發(fā)送ARP請(qǐng)求主機(jī)的MAC地址，然而源IP和目的IP都是發(fā)送主機(jī)的IP，但這是在Windows XP及之前的數(shù)據(jù)包格式（如圖1）。

從Windows XP版本以后的系統(tǒng)開始，又多了一種源IP是0.0.0.0目的IP都是發(fā)送主機(jī)的格式（如圖2）。而標(biāo)準(zhǔn)ARP請(qǐng)求包的目的IP是所請(qǐng)求的IP,而這就是免費(fèi)ARP包和標(biāo)準(zhǔn)ARP請(qǐng)求包的區(qū)別。

不同的系統(tǒng)及設(shè)備發(fā)出的免費(fèi)ARP報(bào)文

1.Windows XP：源 IP和目的IP都是發(fā)送主機(jī)的免費(fèi)ARP數(shù)據(jù)包。

2.VISTA：源IP為0.0.0.0，目的IP都是發(fā)送主機(jī)的免費(fèi)ARP數(shù)據(jù)包。

3.Windows 7及以上：發(fā)送以上兩種免費(fèi)格式的ARP數(shù)據(jù)包。

Windows 7首先會(huì)廣播發(fā)送源IP為0.0.0.0的免費(fèi)ARP數(shù)據(jù)包，如果沒(méi)有收到應(yīng)答包，就表示本地網(wǎng)絡(luò)內(nèi)沒(méi)有IP地址沖突，然后會(huì)用正式的IP作為源IP再發(fā)送一次免費(fèi)ARP數(shù)據(jù)包。

這比這前Windows XP之前要“謹(jǐn)慎”多了，因?yàn)樵诖_定IP沖突之前，還不能正式啟用這個(gè)IP，所以就用0.0.0.0代替。如果收到應(yīng)答包，就會(huì)彈出地址沖突的對(duì)話框，就不會(huì)有后面正式IP發(fā)出的免費(fèi)ARP數(shù)據(jù)包了。

4.三層交換機(jī)、路由器都可管理網(wǎng)絡(luò)設(shè)備(交換端口)都會(huì)發(fā)出免費(fèi)ARP。

注意，普通路由器（無(wú)線）WAN端口沒(méi)有任何免費(fèi)ARP數(shù)據(jù)包發(fā)出了，面對(duì)沖突，只能傻傻等待。

比如TP-LINK普通家用無(wú)線路由器的WAN端口配置的IP就不會(huì)發(fā)送免費(fèi)ARP了。

這個(gè)設(shè)計(jì)肯定讓很多用戶不理解，其實(shí)路由器的WAN口設(shè)計(jì)主要是應(yīng)用在外網(wǎng)連接上的，廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議，如HDLC、PPP、ATM等，數(shù)據(jù)幀封裝格式不一樣了，而ARP協(xié)議只是針對(duì)局域網(wǎng)的，MAC地址是在鏈路層上使用的地址，也就是以太網(wǎng)數(shù)據(jù)幀上。當(dāng)然，如果把路由器的WAN端口應(yīng)用在局域網(wǎng)，肯定不會(huì)發(fā)送免費(fèi)的ARP數(shù)據(jù)包了。

對(duì)免費(fèi)ARP報(bào)文的處理

系統(tǒng)和設(shè)備都會(huì)對(duì)兩種免費(fèi)ARP的數(shù)據(jù)包作出對(duì)應(yīng)的應(yīng)答包。

注意，如何系統(tǒng)安裝了某種網(wǎng)絡(luò)隱身功能的軟件，為了防止網(wǎng)絡(luò)設(shè)備探測(cè)到自己，是不會(huì)對(duì)目的IP是自己的ARP請(qǐng)求數(shù)據(jù)包作出回應(yīng)，如果是網(wǎng)關(guān)發(fā)來(lái)的數(shù)據(jù)包就例外了。

比如，360安全衛(wèi)士的流量防火墻里就存在一個(gè)局域網(wǎng)隱身的功能，它就是采用這種“不予理睬”的原理來(lái)實(shí)現(xiàn)的。

免費(fèi)ARP在實(shí)際環(huán)境中的應(yīng)用

1.注冊(cè)報(bào)道，沖突檢測(cè)

當(dāng)一臺(tái)主機(jī)發(fā)送了免費(fèi)ARP請(qǐng)求報(bào)文后，如果收到了ARP響應(yīng)報(bào)文，則說(shuō)明網(wǎng)絡(luò)內(nèi)已經(jīng)存在使用該IP 的主機(jī)，就會(huì)重新向DHCP申請(qǐng)IP（或者提示用戶IP沖突），如果沒(méi)有收到ARP響應(yīng)報(bào)文，就會(huì)正式啟用這個(gè)IP,向整個(gè)網(wǎng)絡(luò)宣告自己的到來(lái)。

圖3 主動(dòng)發(fā)送免費(fèi)ARP報(bào)文

2.確認(rèn)設(shè)備接口地址

一般的設(shè)備在網(wǎng)卡地址加載階段都會(huì)向網(wǎng)絡(luò)中發(fā)送免費(fèi)的ARP報(bào)文，也有些安全設(shè)備為了安全起見，讓設(shè)備在加載地址期間不向外發(fā)送免費(fèi)ARP報(bào)文，當(dāng)我們想知道某些設(shè)備的接口地址但又沒(méi)有相應(yīng)記錄可查時(shí)，我們就可以利用設(shè)備的這種特性，抓取其免費(fèi)ARP報(bào)文，從而分析出其接口使用的IP地址。

3.防止主機(jī)ARP表項(xiàng)老化

在實(shí)際環(huán)境中，當(dāng)網(wǎng)絡(luò)負(fù)載較大或接收端主機(jī)的CPU占用率較高時(shí)，可能存在ARP報(bào)文被丟棄或主機(jī)無(wú)法及時(shí)處理接收到的ARP報(bào)文等現(xiàn)象。這種情況下，接收端主機(jī)的動(dòng)態(tài)ARP表項(xiàng)會(huì)因超時(shí)而被老化，在其重新學(xué)習(xí)到發(fā)送設(shè)備的ARP表項(xiàng)之前，二者之間的流量就會(huì)發(fā)生中斷。

為了解決上述問(wèn)題，可以在網(wǎng)關(guān)的接口上使能定時(shí)發(fā)送免費(fèi)ARP功能。使能該功能后，網(wǎng)關(guān)接口上將按照配置的時(shí)間間隔周期性發(fā)送接口主IP地址和手工配置的從IP地址的免費(fèi)ARP報(bào)文。這樣，接收端主機(jī)可以及時(shí)更新ARP映射表，從而防止了上述流量中斷現(xiàn)象。

4.防止VRRP虛擬IP地址沖突

當(dāng)網(wǎng)絡(luò)中存在VRRP備份組的時(shí)候，需要由VRRP備份組的Master路由器周期性的向網(wǎng)絡(luò)內(nèi)的主機(jī)發(fā)送免費(fèi)ARP報(bào)文，使主機(jī)更新本地ARP地址表，從而確保網(wǎng)絡(luò)中不會(huì)存在IP地址與VRRP虛擬IP地址相同的設(shè)備。

5.防止仿冒網(wǎng)關(guān)的ARP攻擊

有些網(wǎng)關(guān)設(shè)備為了防止內(nèi)部中毒機(jī)器對(duì)內(nèi)部其他機(jī)器實(shí)施網(wǎng)關(guān)的ARP欺騙攻擊，其會(huì)在一定的時(shí)間間隔內(nèi)向網(wǎng)絡(luò)中主動(dòng)發(fā)送免費(fèi)ARP報(bào)文，讓網(wǎng)絡(luò)內(nèi)的主機(jī)更新ARP表項(xiàng)中的網(wǎng)關(guān)MAC地址信息，從而達(dá)到防止或緩解ARP攻擊的效果,如圖3所示。

注意，本來(lái)這個(gè)功能設(shè)計(jì)的初衷是好的，但如果不能正確配置，相反會(huì)引發(fā)網(wǎng)絡(luò)不通的故障，而且悄無(wú)聲息。

比如有個(gè)客戶反應(yīng)網(wǎng)絡(luò)訪問(wèn)異常緩慢，通過(guò)抓取數(shù)據(jù)包分析，發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)存在大量免費(fèi)ARP（IP地 址為192.168.1.1）報(bào)文，如圖4所示。

從以上數(shù)據(jù)包分析，如果是客戶端電腦設(shè)備，應(yīng)該會(huì)提示IP地址沖突，但實(shí)際環(huán)境中沒(méi)有發(fā)現(xiàn)IP地址沖突的設(shè)備，而且根據(jù)IP地址192.168.1.1可以判斷出這應(yīng)該是網(wǎng)關(guān)路由設(shè)備的IP。與網(wǎng)絡(luò)管理員進(jìn)一步溝通后，發(fā)現(xiàn)正常的網(wǎng)關(guān)應(yīng)該是192.168.1.1，其對(duì)應(yīng)的MAC是74：A3:B7:C0:88:C1。

經(jīng)過(guò)逐步排查，在一間辦公室發(fā)現(xiàn)了一臺(tái)無(wú)線路由器，是用戶為了方便無(wú)線上網(wǎng)，私自接入了當(dāng)無(wú)線AP使用了，但它默認(rèn)的IP剛好是192.168.1.1。最要命的是兩臺(tái)路由器都開啟發(fā)送免費(fèi)ARP防止被欺騙的功能。

圖4 抓取數(shù)據(jù)包

圖5 交互過(guò)程示意

路由器發(fā)送免費(fèi)ARP報(bào)文的目的就是防止內(nèi)部存在偽造默認(rèn)網(wǎng)關(guān)地址192.168.1.1的免費(fèi)ARP報(bào)文實(shí)施ARP欺騙的主機(jī)，如圖3所示，其間隔50毫秒發(fā)送了多個(gè)免費(fèi)ARP報(bào)文可以保證路由下所有的主機(jī)ARP表中網(wǎng)關(guān)地址（192.168.1.1）的MAC對(duì)應(yīng)關(guān)系維持正確。因?yàn)榇蟛糠值腁RP欺騙的發(fā)包頻率并不需要非常快。

但是當(dāng)路由器檢測(cè)到網(wǎng)絡(luò)中有其他MAC的免費(fèi)ARP（192.168.1.1）報(bào)文后，其認(rèn)為是內(nèi)部主機(jī)在實(shí)施ARP欺騙行為，因此逐步提高了其發(fā)免費(fèi)ARP報(bào)文的頻率，而這個(gè)動(dòng)作會(huì)在兩個(gè)路由設(shè)備上同步進(jìn)行，由此導(dǎo)致的后果就是，雙方不斷的增加其發(fā)送免費(fèi)ARP報(bào)文的頻率，導(dǎo)致網(wǎng)絡(luò)中存在大量免費(fèi)ARP數(shù)據(jù)包，影響了網(wǎng)絡(luò)的正常通信。其交互過(guò)程示意圖大致如圖5所示。

最后重新配置了辦公室的無(wú)線路由器，停用了免費(fèi)ARP數(shù)據(jù)包自動(dòng)發(fā)送功能，網(wǎng)絡(luò)通信恢復(fù)正常。

在整個(gè)網(wǎng)絡(luò)協(xié)議中，ARP協(xié)議雖然沒(méi)有像TCP/IP那樣擔(dān)任重要的角色，但它對(duì)整個(gè)網(wǎng)絡(luò)的平衡運(yùn)行提供了最基礎(chǔ)的保障。

免費(fèi)的ARP數(shù)據(jù)包只是ARP協(xié)議中一個(gè)不起眼的請(qǐng)求數(shù)據(jù)包，但是在Windows版本的變遷中，對(duì)免費(fèi)ARP數(shù)據(jù)包的格式做出了不斷的改進(jìn)，足可以看出它對(duì)細(xì)節(jié)的處理是非常精準(zhǔn)的。對(duì)于一個(gè)網(wǎng)絡(luò)工作者來(lái)講，更有必要去探究網(wǎng)絡(luò)末稍的細(xì)節(jié)，讓網(wǎng)絡(luò)更加穩(wěn)定、高效的運(yùn)行。