伪造ARP的问题

xxgcjj

本人用科来数据包生成器做伪造ARP实验，遇到一个问题，诚心请教各位，实验如下：
数据包解码详细信息：
目的地址：FF:FF:FF:FF:FF:FF
源地址：00:23:CD:E4:52:CE（自己伪造的MAC）
协议类型：0X0806
硬件类型：1
协议类型：0X0800
硬件地址长度：6
协议地址长度：4
操作类型：2
源物理地址：00:23:CD:E4:52:CE
源IP地址：192.168.0.1（本网段网关地址）
目标物理地址：FF:FF:FF:FF:FF:FF
目标IP地址：192.168.0.88（局域网内一台主机）
在发送数据包后，整个网络都不能上网，自己也不能，而且查看本机的arp表，网关IP地址竟然对应的MAC地址变成我伪造的那个MAC地址了，这个伪造的ARP不是用来欺骗0.88这台主机吗，虽然目的MAC地址是广播，但只有0.88这主机会把网关地址和伪造MAC写进ARP缓存表里，怎么变成欺骗网关了，望求解》

lyt891006

你那是说的单播的ARP应答包，广播的ARP请求包其它主机都能收到，并且所有的主机都将更新自己的MAC缓存表，但只有MAC地址是ARP包中目的MAC的主机还将同时向源主机回复ARP应答包。你可以把操作类型改为1，或者发送伪造的的单播应答包。

xxgcjj

ARP应答包是广播，那局域网内所有主机都会接收。检查目的MAC地址，是广播，于是处理该帧，检
查协议类型，发现是ARP协议，于是送给三层处理；IP协议检查接收者协议地址（IP地址），发
现是自己，就进一步处理，检查操作类型，发现时ARP响应，于是读取发送者IP地址和MAC地址，把
IP地址和MAC地址写入ARP表内。虽然其他主机都能接收到该ARP响应，但IP协议会检查接收者IP
地址，发现不是自己，于是会丢弃掉包，怎么会写入自己的ARP表呢？

lyt891006

数据在解封装的时候，从下到上，先是链路层，然后才是网络层。在同一个局域网内，主要是二层的通信。它是先检查数据包的目的MAC地址，如果是自己的或广播地址或所属于的多播组就接受，否则直接丢弃。链路层处理以后，交给IP层处理，目的ip不是本机ip，而本机又不是路由器，则直接丢弃。但接受到的如果是ARP报文 ，只要是链路层处理了之后就更新自己的ARP表。免费ARP也是这个这个原理。

xxgcjj

ARP报文只有前面14个字节属于二层帧头的内容，后面的属于IP头内容，要交给IP层处理，楼上的说如果是ARP报文，只要是链路层处理之后就更新自己的ARP表，也就是只处理目的MAC，源MAC 和协议类型，不用管IP层了，那怎么更新ARP表，更新什么内容，连IP地址都还没处理。

lyt891006

ARP报文是封装在以太网帧头之上的，但在去掉以太网帧头之后，剩下的ARP报文是交给IP层处理吗？ARP报文并没有打上IP头，也不能准确地说是交给IP层处理。ARP是想确定IP所对应的MAC地址，但这也不属于ip层所做的事情。至于ARP到底 属于哪一层，这个也不好说，网上也是争议一片。

xxgcjj

那去掉以太网帧头之后，剩下的ARP报文是哪层处理？是怎样处理的？而且ARP报文里有协议类型，对应的0X0800，就是IP协议。

oldjiang

arp应该是二层

oldjiang

楼主模拟的这个包有点意思啊，不知道模拟软件里能不能试验一下。

xxgcjj

我就是在模拟软件里构造了这个ARP应答包，然后发送出去，本来意图是想让0.88这台主机上不了网，结果全网主机都不能上网，更可疑的是所有主机ARP表都变成了00:23:CD:E4:52:CE（自己伪造的MAC）-192.168.0.1（实际网关地址），这点我就想不通了，为什么会变成这样，不是接收主机是0.88吗，虽然是广播，但打开ARP包后有接收主机的IP，其他的应该会丢弃掉，一时想不明白

xxgcjj

问题我想明白了，不知道是不是这样：当我模拟的ARP应答包发送出去之后，0.88主机会收到并更新自己的ARP表，00:23:CD:E4:52:CE-192.168.0.1，同时交换机也会更新自己的ARP缓存，记录下192.168.0.1是与00:23:CD:E4:52:CE-192.168.0.1对应的，当局域网能其他主机请求网关192.168.0.1时，交换机会把伪造的00:23:CD:E4:52:CE地址发过去，这样就导致全网上不了网了，一直没把交换机考虑进去。

lian6231xiang

源地址是你自己的  目标是网关 IP随便  目标IP 网关  这样 数据包发到那个随便的IP那

yang8766

不行的说
不行的说
不行的说
不行的说
不行的说
不行的说
不行的说
不行的说