前言

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。

一、广播与广播域概述

广播与广播域

• 广播：将广播地址做为目的地址的数据帧
• 广播域：网络中能接收到同一个广播所有节点的集合

MAC地址广播

• 广播地址为FF-FF-FF-FF-FF-FF

IP地址广播

• 1）255.255.255.255
• 2）广播IP地址为IP地址网段的广播地址，如192.168.1.255/24

二、ARP协议概述：

什么是ARP协议？

• 1.地址解析协议

• 2.作用：将IP解析为MAC地址

• 3.原理：
  1）发送ARP广播请求 ARP报文内容:我是10.1.1.1 我的mac：AA
  谁是10.1.1.3 你的mac：？
  2）接收ARP单播应答

• 4.ARP攻击或欺骗的原理是： 通过发送伪造虚假的ARP报文（广播或单播），来实现的攻击或欺骗！ 如虚假报文的mac是伪造的不存在的，实现ARP攻击，结果为中断通信/断网！
  如虚假报文的mac是攻击者自身的mac地址，实现ARP欺骗，结果可以监听、窃取、篡改、控制流量，但不中断通信！

• 5.ARP协议没有验证机制，所以容易被arp投毒攻击

• 6.ARP攻击者通过发送虚假伪造的arp报文对受害者进行ARP缓存投毒

• 7.路由器的工作原理
  1）一个帧到达路由，路由器首先检查目标MAC地址是否自己，如果不是则丢弃，如果是则解封装，并将IP包送到路由器内部

  2）路由器检查IP包头中的目标IP，并匹配路由表，如果匹配失败，则丢弃，并向源IP回馈错误信息，如匹配成功，则将IP包路由到出接口。

  3）封装帧，首先将出接口的MAC地址作为源MAC封装好，然后检查ARP缓存表，检查是否有下一跳的MAC地址，如有，将提取并作为目标MAC地址封装到帧中，如没有，则发送ARP广播请求下一跳的MAC，并获取到对方的mac地址，再记录缓存，并封装帧，最后将帧发送出去。

• 8.如果公司有人在做ARP欺骗，该如何找到此人？

三、ARP攻击防御：

常见的APR攻击工具cain
1.静态ARP绑定
手工绑定/双向绑定
windows客户机上：
arp -s 10.1.1.254 00-01-2c-a0-e1-09
arp -a 查看ARP缓存表
路由器上静态绑定：
Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0
优点：配置简单
缺点：工作量大，维护量大

2.ARP防火墙
自动绑定静态ARP
主动防御
优点：简单易用
缺点：当开启人数较多时，会增大网络负担

3.硬件级ARP防御：
交换机支持“端口”做动态ARP绑定（配合DHCP服务器）
或做静态ARP绑定

如：
conf t
ip dhcp snooping
int range f0/1 - 48
switch(config-range-if)#