免費ARP數(shù)據(jù)包對于網(wǎng)絡(luò)管理者來說并不陌生，檢測IP沖突這是大家熟知的一個功能，但隨著Windows系統(tǒng)的不斷升級，其報文的格式在發(fā)生變化，而且ARP的應(yīng)用也不僅是IP沖突檢測這么簡單。

圖1 源IP和目的IP都是發(fā)送主機的IP

圖2 源IP為0.0.0.0，目的IP都是發(fā)送主機的IP

免費ARP數(shù)據(jù)包的認識

免費ARP包是標準ARP請求包的特例，目的MAC地址仍是二層廣播地址FF-FFFF-FF-FF-FF，源 MAC地址是發(fā)送ARP請求主機的MAC地址，然而源IP和目的IP都是發(fā)送主機的IP，但這是在Windows XP及之前的數(shù)據(jù)包格式（如圖1）。

從Windows XP版本以后的系統(tǒng)開始，又多了一種源IP是0.0.0.0目的IP都是發(fā)送主機的格式（如圖2）。而標準ARP請求包的目的IP是所請求的IP,而這就是免費ARP包和標準ARP請求包的區(qū)別。

不同的系統(tǒng)及設(shè)備發(fā)出的免費ARP報文

1.Windows XP：源 IP和目的IP都是發(fā)送主機的免費ARP數(shù)據(jù)包。

2.VISTA：源IP為0.0.0.0，目的IP都是發(fā)送主機的免費ARP數(shù)據(jù)包。

3.Windows 7及以上：發(fā)送以上兩種免費格式的ARP數(shù)據(jù)包。

Windows 7首先會廣播發(fā)送源IP為0.0.0.0的免費ARP數(shù)據(jù)包，如果沒有收到應(yīng)答包，就表示本地網(wǎng)絡(luò)內(nèi)沒有IP地址沖突，然后會用正式的IP作為源IP再發(fā)送一次免費ARP數(shù)據(jù)包。

這比這前Windows XP之前要“謹慎”多了，因為在確定IP沖突之前，還不能正式啟用這個IP，所以就用0.0.0.0代替。如果收到應(yīng)答包，就會彈出地址沖突的對話框，就不會有后面正式IP發(fā)出的免費ARP數(shù)據(jù)包了。

4.三層交換機、路由器都可管理網(wǎng)絡(luò)設(shè)備(交換端口)都會發(fā)出免費ARP。

注意，普通路由器（無線）WAN端口沒有任何免費ARP數(shù)據(jù)包發(fā)出了，面對沖突，只能傻傻等待。

比如TP-LINK普通家用無線路由器的WAN端口配置的IP就不會發(fā)送免費ARP了。

這個設(shè)計肯定讓很多用戶不理解，其實路由器的WAN口設(shè)計主要是應(yīng)用在外網(wǎng)連接上的，廣域網(wǎng)的數(shù)據(jù)鏈路層協(xié)議，如HDLC、PPP、ATM等，數(shù)據(jù)幀封裝格式不一樣了，而ARP協(xié)議只是針對局域網(wǎng)的，MAC地址是在鏈路層上使用的地址，也就是以太網(wǎng)數(shù)據(jù)幀上。當然，如果把路由器的WAN端口應(yīng)用在局域網(wǎng)，肯定不會發(fā)送免費的ARP數(shù)據(jù)包了。

對免費ARP報文的處理

系統(tǒng)和設(shè)備都會對兩種免費ARP的數(shù)據(jù)包作出對應(yīng)的應(yīng)答包。

注意，如何系統(tǒng)安裝了某種網(wǎng)絡(luò)隱身功能的軟件，為了防止網(wǎng)絡(luò)設(shè)備探測到自己，是不會對目的IP是自己的ARP請求數(shù)據(jù)包作出回應(yīng)，如果是網(wǎng)關(guān)發(fā)來的數(shù)據(jù)包就例外了。

比如，360安全衛(wèi)士的流量防火墻里就存在一個局域網(wǎng)隱身的功能，它就是采用這種“不予理睬”的原理來實現(xiàn)的。

免費ARP在實際環(huán)境中的應(yīng)用

1.注冊報道，沖突檢測

當一臺主機發(fā)送了免費ARP請求報文后，如果收到了ARP響應(yīng)報文，則說明網(wǎng)絡(luò)內(nèi)已經(jīng)存在使用該IP 的主機，就會重新向DHCP申請IP（或者提示用戶IP沖突），如果沒有收到ARP響應(yīng)報文，就會正式啟用這個IP,向整個網(wǎng)絡(luò)宣告自己的到來。

圖3 主動發(fā)送免費ARP報文

2.確認設(shè)備接口地址

一般的設(shè)備在網(wǎng)卡地址加載階段都會向網(wǎng)絡(luò)中發(fā)送免費的ARP報文，也有些安全設(shè)備為了安全起見，讓設(shè)備在加載地址期間不向外發(fā)送免費ARP報文，當我們想知道某些設(shè)備的接口地址但又沒有相應(yīng)記錄可查時，我們就可以利用設(shè)備的這種特性，抓取其免費ARP報文，從而分析出其接口使用的IP地址。

3.防止主機ARP表項老化

在實際環(huán)境中，當網(wǎng)絡(luò)負載較大或接收端主機的CPU占用率較高時，可能存在ARP報文被丟棄或主機無法及時處理接收到的ARP報文等現(xiàn)象。這種情況下，接收端主機的動態(tài)ARP表項會因超時而被老化，在其重新學習到發(fā)送設(shè)備的ARP表項之前，二者之間的流量就會發(fā)生中斷。

為了解決上述問題，可以在網(wǎng)關(guān)的接口上使能定時發(fā)送免費ARP功能。使能該功能后，網(wǎng)關(guān)接口上將按照配置的時間間隔周期性發(fā)送接口主IP地址和手工配置的從IP地址的免費ARP報文。這樣，接收端主機可以及時更新ARP映射表，從而防止了上述流量中斷現(xiàn)象。

4.防止VRRP虛擬IP地址沖突

當網(wǎng)絡(luò)中存在VRRP備份組的時候，需要由VRRP備份組的Master路由器周期性的向網(wǎng)絡(luò)內(nèi)的主機發(fā)送免費ARP報文，使主機更新本地ARP地址表，從而確保網(wǎng)絡(luò)中不會存在IP地址與VRRP虛擬IP地址相同的設(shè)備。

5.防止仿冒網(wǎng)關(guān)的ARP攻擊

有些網(wǎng)關(guān)設(shè)備為了防止內(nèi)部中毒機器對內(nèi)部其他機器實施網(wǎng)關(guān)的ARP欺騙攻擊，其會在一定的時間間隔內(nèi)向網(wǎng)絡(luò)中主動發(fā)送免費ARP報文，讓網(wǎng)絡(luò)內(nèi)的主機更新ARP表項中的網(wǎng)關(guān)MAC地址信息，從而達到防止或緩解ARP攻擊的效果,如圖3所示。

注意，本來這個功能設(shè)計的初衷是好的，但如果不能正確配置，相反會引發(fā)網(wǎng)絡(luò)不通的故障，而且悄無聲息。

比如有個客戶反應(yīng)網(wǎng)絡(luò)訪問異常緩慢，通過抓取數(shù)據(jù)包分析，發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)存在大量免費ARP（IP地 址為192.168.1.1）報文，如圖4所示。

從以上數(shù)據(jù)包分析，如果是客戶端電腦設(shè)備，應(yīng)該會提示IP地址沖突，但實際環(huán)境中沒有發(fā)現(xiàn)IP地址沖突的設(shè)備，而且根據(jù)IP地址192.168.1.1可以判斷出這應(yīng)該是網(wǎng)關(guān)路由設(shè)備的IP。與網(wǎng)絡(luò)管理員進一步溝通后，發(fā)現(xiàn)正常的網(wǎng)關(guān)應(yīng)該是192.168.1.1，其對應(yīng)的MAC是74：A3:B7:C0:88:C1。

經(jīng)過逐步排查，在一間辦公室發(fā)現(xiàn)了一臺無線路由器，是用戶為了方便無線上網(wǎng)，私自接入了當無線AP使用了，但它默認的IP剛好是192.168.1.1。最要命的是兩臺路由器都開啟發(fā)送免費ARP防止被欺騙的功能。

圖4 抓取數(shù)據(jù)包

圖5 交互過程示意

路由器發(fā)送免費ARP報文的目的就是防止內(nèi)部存在偽造默認網(wǎng)關(guān)地址192.168.1.1的免費ARP報文實施ARP欺騙的主機，如圖3所示，其間隔50毫秒發(fā)送了多個免費ARP報文可以保證路由下所有的主機ARP表中網(wǎng)關(guān)地址（192.168.1.1）的MAC對應(yīng)關(guān)系維持正確。因為大部分的ARP欺騙的發(fā)包頻率并不需要非?？臁?/p>

但是當路由器檢測到網(wǎng)絡(luò)中有其他MAC的免費ARP（192.168.1.1）報文后，其認為是內(nèi)部主機在實施ARP欺騙行為，因此逐步提高了其發(fā)免費ARP報文的頻率，而這個動作會在兩個路由設(shè)備上同步進行，由此導致的后果就是，雙方不斷的增加其發(fā)送免費ARP報文的頻率，導致網(wǎng)絡(luò)中存在大量免費ARP數(shù)據(jù)包，影響了網(wǎng)絡(luò)的正常通信。其交互過程示意圖大致如圖5所示。

最后重新配置了辦公室的無線路由器，停用了免費ARP數(shù)據(jù)包自動發(fā)送功能，網(wǎng)絡(luò)通信恢復(fù)正常。

在整個網(wǎng)絡(luò)協(xié)議中，ARP協(xié)議雖然沒有像TCP/IP那樣擔任重要的角色，但它對整個網(wǎng)絡(luò)的平衡運行提供了最基礎(chǔ)的保障。

免費的ARP數(shù)據(jù)包只是ARP協(xié)議中一個不起眼的請求數(shù)據(jù)包，但是在Windows版本的變遷中，對免費ARP數(shù)據(jù)包的格式做出了不斷的改進，足可以看出它對細節(jié)的處理是非常精準的。對于一個網(wǎng)絡(luò)工作者來講，更有必要去探究網(wǎng)絡(luò)末稍的細節(jié)，讓網(wǎng)絡(luò)更加穩(wěn)定、高效的運行。