ARP协议概述
ARP协议(address resolution protocol)地址解析协议。
一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址,所以用ARP解析协议将IP地址解析成MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,来查询目标设备的mac地址。
在局域网的任意一台主机中,都有一个ARP缓存表,里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。ARP缓存表的生命周期是有时限的(一般不超过20分钟)。
举个例子:假设局域网中有四台主机
主机A想和主机B通信,主机A会先查询自己的ARP缓存表里有没有B的联系方式,有的话,就将mac-b地址封装到数据包外面,发送出去。没有的话,A会向全网络发送一个ARP广播包,大声询问:我的IP地址是192.168.0.2,硬件地址是mac-a,我想知道IP地址是192.168.0.3的硬件地址是多少?、
此时,局域网内所有主机都收到了,B收到后会单独私密回应:我是192.168.0.3,我的硬件地址是 mac-b ,其他主机不会理A的此时A知道了B的信息,同时也会动态的更新自身的缓存表。
APR攻击发现
首先诊断是否为ARP病毒攻击
1. 当发现上网明显变慢,或者突然掉线时,我们可以用 arp -a 命令来检查ARP表:(点击“开始”按钮-选择“运行”-输入“cmd”点击"确定"按钮,在窗口中输入“arp -a”命令)如果发现网关的MAC地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。这时可以通过“arp -d”清除arp列表,重新访问。
2. 利用ARP防火墙类软件(如:360ARP防火墙、AntiARP