leacom
驱动牛犊
驱动牛犊
  • 注册日期2001-05-20
  • 最后登录2010-11-06
  • 粉丝0
  • 关注0
  • 积分10分
  • 威望1点
  • 贡献值0点
  • 好评度1点
  • 原创分0分
  • 专家分0分
阅读:1677回复:8

关于ARP协议

楼主#
更多 发布于:2003-11-09 02:27
在现在的pc机中,ARP是由哪一部分实现的?是网卡上的接口芯片还是由操作系统软件实现的?
哪位知道啊
thx!
小林
link_bridge
驱动巨牛
驱动巨牛
  • 注册日期2002-11-28
  • 最后登录2011-05-15
  • 粉丝0
  • 关注0
  • 积分31分
  • 威望13点
  • 贡献值0点
  • 好评度2点
  • 原创分0分
  • 专家分0分
沙发#
发布于:2003-11-09 10:37
在现在的pc机中,ARP是由哪一部分实现的?是网卡上的接口芯片还是由操作系统软件实现的?



是网卡上的接口芯片实现的!
fracker
驱动太牛
驱动太牛
  • 注册日期2001-06-28
  • 最后登录2021-03-30
  • 粉丝0
  • 关注0
  • 积分219分
  • 威望81点
  • 贡献值0点
  • 好评度23点
  • 原创分0分
  • 专家分1分
  • 社区居民
板凳#
发布于:2003-11-09 11:18
在现在的pc机中,ARP是由哪一部分实现的?是网卡上的接口芯片还是由操作系统软件实现的?



是网卡上的接口芯片实现的!

当然是协议实现的,
顾名思义,ARP是地址解析,解析什么地址?协议地址,比如IP协议,就是解析IP地址,协议地址,只有协议层以上的东西才能知道,所以,接口芯片是坚决做不了ARP的事情的。
leacom
驱动牛犊
驱动牛犊
  • 注册日期2001-05-20
  • 最后登录2010-11-06
  • 粉丝0
  • 关注0
  • 积分10分
  • 威望1点
  • 贡献值0点
  • 好评度1点
  • 原创分0分
  • 专家分0分
地板#
发布于:2003-11-09 12:17
汗...
两位大侠各执一词
不过看tpc/ip的书,arp协议应该是已知ip地址,想得到mac地址的说
小林
arthurtu
驱动巨牛
驱动巨牛
  • 注册日期2001-11-08
  • 最后登录2020-12-19
  • 粉丝0
  • 关注0
  • 积分26分
  • 威望161点
  • 贡献值0点
  • 好评度35点
  • 原创分0分
  • 专家分0分
  • 社区居民
地下室#
发布于:2003-11-09 14:22
赞同黑僧
monkeyy
驱动中牛
驱动中牛
  • 注册日期2001-12-06
  • 最后登录2010-10-10
  • 粉丝0
  • 关注0
  • 积分315分
  • 威望84点
  • 贡献值0点
  • 好评度32点
  • 原创分0分
  • 专家分0分
5楼#
发布于:2003-11-09 15:09
fracker说的完全正确,我曾经抓过ARP包,肯定在协议栈中实现的! ;) ;) ;) ;)
听说老虎会吃人,所以从没想过去摸老虎的屁股。:( :(
xtmzl
驱动牛犊
驱动牛犊
  • 注册日期2003-05-21
  • 最后登录2017-01-24
  • 粉丝0
  • 关注0
  • 积分18分
  • 威望141点
  • 贡献值0点
  • 好评度55点
  • 原创分0分
  • 专家分0分
  • 社区居民
6楼#
发布于:2003-11-09 16:36
看过TCP/IP第二卷,上面讲述了用软件实现ARP

应该是用软件来实现的

[编辑 -  11/9/03 by  xtmzl]
HOHO
Dino
驱动牛犊
驱动牛犊
  • 注册日期2001-08-07
  • 最后登录2007-01-10
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
7楼#
发布于:2003-11-10 09:05
协议栈来实现的。
Death is only the beginning
wuhuaqiang
驱动牛犊
驱动牛犊
  • 注册日期2002-03-21
  • 最后登录2007-02-05
  • 粉丝0
  • 关注0
  • 积分50分
  • 威望6点
  • 贡献值0点
  • 好评度4点
  • 原创分0分
  • 专家分0分
8楼#
发布于:2003-11-11 13:26
以下内容源自安全焦点

创建时间:2002-09-20
文章属性:原创
文章来源:FLASHSKY
文章提交:flashsky (flashsky1_at_sina.com)

W2K主机ARP表操作的实现。(原创)
    现在ARP欺骗比较流行了,特别是针对交换网络的环境的WINDOWS系统,WINDOWSS默认会对接收到的ARP包就进行ARP表的修改,另外就是WINDOWS的ARP静态包ARP -S是没有效果的,设置了ARP -S的地址一样会接收到一个ARP欺骗包以后改变自己的ARP表?。去年我已经写了一个基于ARP中间进行NTLM认证攻击的东西,于是就在想怎么在交换环境中检测ARP欺骗呢。
    一种想法是直接嗅探网络中的ARP包进行分析,只是这种方法对于交换环境的网络是无效的。那么只能是在主机上针对收到的ARP包进行检测和分析了。但实际上如果用低层包拦截过滤的方式又会极大的影响网络的速度。如果我们根据ARP表的变化能主动通知就好了。实际上从技术上实现是可能的,因为一个秘密:对于ARP表,W2K系统是通过内建的SNMP来进行管理的,不管你的SNMP服务是否开启,呵呵,奇怪吧?(可能其他的WINDOWS系统也一样,但是我没作过测试)
    先我也一样很奇怪ARP这个程序是如何运行的,因为查遍了所有MSDN的文档都没有涉及到ARP表读取,修改的API。万般无奈之下,只有看ARP的汇编代码,才发现这个秘密。ARP -S命令也只是根据SNMP对应的OID接点的ARP表规范的ARP类型由3(动态)修改成4(静态),但是低层的TCP/IP协议栈在收到ARP包以后修改SNMP对应的ARP表,根本就没有检查其类型,这也是ARP -S命令无效的原因。那么如下代码就是根据ARP程序反汇编出的C程序的代码,主要是通过内建的SNMP操作获得ARP表和对ARP表进行操作,其中由于代码本身是我写成的一个ARP检测的工具的ARP核心的COM中COPY出来的,所以一定头文件定义,变量定义不是很全,本来是想发布这个工具的,但是没看见可以提交工具的地方,然后觉得给大家讲解源代码可能更符合安全焦点的FREE原则吧。主要是给大家阅读其原理然后在实用的,需要大家具备一点SNMP协议的知识。

char asnmpu[200];
char asnmpg[200];
char asnmpu1[32];
char asnmpg1[32];

//通过WINDOWS内建的SNMP读取ARP表
STDMETHODIMP Carpinfo::getarpinfo(int *num)
{
    int i;
    int j;
    int k;
    int numoid;
    int ip[256][4];
    char buffer[256];
    SnmpVarBindList a;//是在SNMP.h中定义的结构
    SnmpVarBindList b;  
    SnmpVarBind arpb[2];//在SNMP.h中定义的结构
    AsnInteger32 a1;    
    AsnInteger32 a2;    
    BOOL lok;    
    DWORD addr;
    DWORD addr1;
    ZeroMemory(asnmpu,200);
    ZeroMemory(asnmpg,200);
    ZeroMemory(asnmpu1,32);
    ZeroMemory(asnmpg1,32);
    addr = (DWORD)asnmpu;
    *(u_char *)addr  = 1;
    addr = addr + 4;
    *(u_char *)addr = 3;
    addr = addr + 4;
    *(u_char *)addr = 6;
    addr = addr + 4;
    *(u_char *)addr = 1;
    addr = addr + 4;
    *(u_char *)addr= 2;
    addr = addr + 4;
    *(u_char *)addr= 1;
    addr = addr + 4;
    *(u_char *)addr= 4;
    addr = addr + 4;
    *(u_char *)addr= 22;
    addr = addr + 4;
    *(u_char *)addr= 1;
    addr = addr + 4;
    *(u_char *)addr= 2;

    //以上是构造ARP表在SNMP MIB中的MAC ARP地址接点的OID,在WINDOWS的SNMP请求中每个OID点是4个字节长度
    arpb[0].name.idLength = 10;
    //OID的长度
    arpb[0].name.ids = (unsigned int *)asnmpu;
    a.list = &arpb[0];
    a.len = 1;
    //构造了一个SnmpVarBindList请求,如果有多个SnmpVarBindList请求也可以增加len和对应的a.list中的内容

    a1 = 0;
    a2 = 0;
    addr = (DWORD)asnmpg;
    *(u_char *)addr  = 1;
    addr = addr + 4;
    *(u_char *)addr = 3;
    addr = addr + 4;
    *(u_char *)addr = 6;
    addr = addr + 4;
    *(u_char *)addr = 1;
    addr = addr + 4;
    *(u_char *)addr= 2;
    addr = addr + 4;
    *(u_char *)addr= 1;
    addr = addr + 4;
    *(u_char *)addr= 4;
    addr = addr + 4;
    *(u_char *)addr= 22;
    addr = addr + 4;
    *(u_char *)addr= 1;
    addr = addr + 4;
    *(u_char *)addr= 4;
    //以上是构造ARP表在SNMP MIB中的ARP IP地址接点的OID,在WINDOWS的SNMP请求中每个OID点是4个字节长度
    arpb[1].name.idLength   = 10;
    arpb[1].name.ids = (unsigned int *)asnmpg;
    b.list   = &arpb[1];
    b.len  = 1;
    * num = 0;
    for(i=0;i<256;i++)
    {
        ZeroMemory(buffer,256);
        lok=SnmpExtensionQuery(SNMP_PDU_GETNEXT,&a,&a2,&a1);        
        a1 = 0;
        a2 = 0;
        lok=SnmpExtensionQuery(SNMP_PDU_GETNEXT,&b,&a2,&a1);
        numoid = arpb[0].name.idLength - 14;
        addr= (DWORD)a.list->name.ids;        
        addr1 = (DWORD)asnmpg+40+4*numoid;        
        ip[0]=*(int *)(addr+40+4*numoid);
        ip[1]=*(int *)(addr+44+4*numoid);
        ip[2]=*(int *)(addr+48+4*numoid);
        ip[3]=*(int *)(addr+52+4*numoid);

        if(ip[0]==0 && ip[1]==0 && ip[2]==0 && ip[3]==0)
            break;
        if(i>0)
        {
            if(ip[0]==ip[0][0] && ip[1]==ip[0][1] && ip[2]==ip[0][2] && ip[3]==ip[0][3])
            {
                * num = i;
                m_arpnum = i;
                break;
            }
        }        
        addr = (DWORD)a.list ->name.ids ;
        j = sprintf(buffer,\"%d.%d.%d.%d=\",*(int *)(addr+44),*(int *)(addr+48),*(int *)(addr+52),*(int *)(addr+56));
        addr = (DWORD)a.list ->value.asnValue.string.stream ;
        k = sprintf(buffer+j,\"%02x-%02x-%02x-%02x-%02x-%02x\",*(u_char *)(addr+0),*(u_char *)(addr+1),*(u_char *)(addr+2),*(u_char *)(addr+3),*(u_char *)(addr+4),*(u_char *)(addr+5));
        addr = (DWORD)(b.list) ->value.asnValue.number;
        if(addr==4)
            sprintf(buffer+j+k,\"=static\");
        else if(addr==3)
            sprintf(buffer+j+k,\"=dynamic\");
        else
            sprintf(buffer+j+k,\"=status:%d\",addr);
        m_arpinfo = buffer;
    }
    return S_OK;
}

//改变ARP表内容,如果是一个不存在的IP则是增加一条ARP记录
STDMETHODIMP Carpinfo::changearp(BSTR ip, BSTR mac, int arptype, long mactype)
{
    char arpinfo[4][200];
    int i;
    u_char ipstr[4];
    u_char macstr[6];
    SnmpVarBindList a;
    SnmpVarBind arpb[4];
    AsnInteger32 a1;    
    AsnInteger32 a2;    
    BOOL lok;    
    char ipstr1[10];
    char macstr1[14];
    WideCharToMultiByte(CP_ACP,WC_COMPOSITECHECK,ip,-1,ipstr1,10,NULL,NULL);
    WideCharToMultiByte(CP_ACP,WC_COMPOSITECHECK,mac,-1,macstr1,14,NULL,NULL);
    for(i=0;i<4;i++)
    {
        ipstr=hextoint(ipstr1[2*i+0])*16+hextoint(ipstr1[2*i+1]);
    }
    for(i=0;i<6;i++)
    {
        macstr=hextoint(macstr1[2*i+0])*16+hextoint(macstr1[2*i+1]);
    }
    for(i=0;i<4;i++)
    {
        ZeroMemory(arpinfo,200);
        arpinfo[0]=1;
        arpinfo[4]=3;
        arpinfo[8]=6;
        arpinfo[12]=1;
        arpinfo[16]=2;
        arpinfo[20]=1;
        arpinfo[24]=4;
        arpinfo[28]=22;
        arpinfo[32]=1;
        arpinfo[36]=i+1;
        *(unsigned long *)(arpinfo+40)=mactype;
        arpinfo[44]=ipstr[0];
        arpinfo[48]=ipstr[1];
        arpinfo[52]=ipstr[2];
        arpinfo[56]=ipstr[3];
        arpb.name.idLength = 15;
        arpb.name.ids = (unsigned int *)arpinfo;
        if(i==0)
        {
            arpb.value.asnType    = 2;
            arpb.value.asnValue.number = mactype;
        }
        if(i==1)
        {
            arpb.value.asnType  = 4;
            arpb.value.asnValue.string.stream = macstr;
            arpb.value.asnValue.string.length = 6;
            arpb.value.asnValue.string.dynamic = 0;
        }
        if(i==2)
        {
            arpb.value.asnType = 0x40;
            arpb.value.asnValue.address.stream = ipstr;
            arpb.value.asnValue.address.length = 4;
            arpb.value.asnValue.address.dynamic = 0;
        }
        if(i==3)
        {
            arpb.value.asnType = 2;
            arpb.value.asnValue.number = arptype;
        }
    }
    //对ARP表的修改涉及到4个OID接点,分别进行处理,asnType代表了接点类型的格式

    a.list   = &arpb[0];
    a.len  = 4;
    a1 = 0;
    a2 = 0;
    lok=SnmpExtensionQuery(SNMP_PDU_SET,&a,&a1,&a2);            
    return S_OK;
}

int Carpinfo::hextoint(char hexc)
{
    if (ascchar<=\'9\') return(ascchar-\'0\');
    else if(ascchar<=\'F\') return(ascchar-\'A\'+10);
    else return(ascchar-\'a\'+10);
}

    最后,其实熟悉SNMP的同志肯定会很容易想到通过SNMP TRAP就很容易达到ARP主动变化通知的目的,无需定期轮询ARP表,那就是留给你们的一个实现ARP欺骗检测的思路了。
我实话告诉你们,我可是身经百战了。bbs我见的多了,哪个版我没灌过?你们要知道,smth的thupress版,那比你们不知道厉害到哪里去了,我在那谈笑风声.你们有一个好,就是无论在哪个版,什么话题都灌,但是灌来灌去的问题,都too simple,sometimes naive!你们懂不懂呀?啊?所以说灌水啊,关键是要提高自己的知识水平。你们啊,不要总想着弄个大坑,然后灌上十大,再把我羞辱一番……你们啊,naive !你们这样灌是不行地!
游客

返回顶部