ARP协议、ARP欺骗与攻击、ARP攻击防御

广播：将广播地址作为目的地址的数据帧；每个网段的最后一个IP地址就是该网段的广播地址。如（10.1.1.0/24中的10.1.1.255就是该网段的广播地址）

广播域：网络中能接收到同一个广播所有节点的集合

mac地址广播

广播地址：FF－FF－FF－FF－FF－FF

IP地址广播

1、255.255.255.255

2、广播IP地址为IP地址网段的广播地址，如192.168.1.255/24

交换机不能隔离广播，路由隔离广播

————————————————

ARP协议：地址解析协议，即ARP（Address Resolution Protocol）

作用：将一个已知的IP地址解析成MAC地址

---- ----------- -------- -----

原理：

1）ARP广播请求

主机A要和主机C通信，但是事先他并不知道自己C的MAC 地址是多少，那这时候他怎么办？只能发一个广播包了呀，帧结构里面的源MAC地址填的是自己的MAC ，目标地址的MAC不知道那就是FF-FF-FF-FF-FF-FF,ARP 请求报文中包含源IP地址、目的IP地址、源MAC地址、目的MAC地址（目的MAC的值为0；全0代表这个地址待填充），请求报文会在网络中传播，该网络中的所有网关都会接受到ARP请求报文。

2）ARP单播应答

当主机C收到A主机发送的广播包后知道就是找它，那它得给主机A回应一个ARP应答呀，ARP应答报文中的源协议地址变成了主机C主机的IP地址，目标地址就是主机A的IP地址，目的MAC是主机A的MAC ，源MAC地址就是主机的MAC地址，然后通过单播的方式传送到主机A。

ARP缓存【以最后收到的应答为准】

当主机A收到ARP应答后做的事情就是把主机C的MAC 地址存放到自己的ARP缓存表中，下次如果还有数据包要发送往C，那它就不会广播再去发一次而是找到ARP缓存表的记录，然后把C的MAC地址填上去就发送数据包了。

当主机接收到一个广播信息，如果IP地址与广播的IP地址相同，则发回一个应答包，若不相同，则不做反应。但会把源IP地址与源MAC地址写入arp高速缓存形成映射。

---- ----------- -------- -----

1、arp -a 查看ARP缓存

2、arp -d 清除arp缓存

3、arp -s arp绑定

————————————————

ARP攻击或欺骗的原理：

通过发送伪造虚假的ARP报文（广播或单播），来实现攻击或欺骗

如虚假报文的MAC是伪造的不存在的，实现ARP攻击，结果为终端通信/断网

如虚假报文的MAC是攻击者自身的MAC地址，实现ARP欺骗，结果可以监听、窃取、篡改、控制流量，但不中断通信！

---- ----------- -------- -----

ARP攻击产生原因是因为arp协议的局限：

ARP协议没有验证机制；

arp缓存表以以最后收到的应答为准；

ARP攻击者通过发送虚假伪造的ARP报文对受害者进行ARP缓存投毒；

————————————————

ARP攻击防御

１、静态ARP绑定：手工绑定/双向绑定

windows客户机上：

arp -s 10.1.1.254 00-20-2c-a0-e1-o9

2、ARP防火墙

自动绑定静态ARP

主动防御

3、硬件级ARP防御

交换机支持”端口“做动态ARP绑定（配合DHCP服务器）

或做交换机静态ARP绑定

交换机动态ARP详细配置后续更新》》