【网络基础】第20章 ARP协议

一、广播域广播域

1、广播：将广播地址做为目的地址的数据帧

2、广播域：网络中能接收到同一个广播所有节点的集合

3、MAC地址广播地址：FF-FF-FF-FF-FF-FF

4、IP地址广播：255.255.255.255

例：广播IP地址为IP地址网段的广播地址，如192.168.1.255/24

二、ARP协议（地址解析协议）：

1、作用：将IP解析为MAC地址

2、原理：

1）发送ARP广播请求

ARP报文内容:我是10.1.1.1 我的mac：AA，谁是10.1.1.3 你的mac：？

2）接收ARP单播应答

3、ARP相关命令

arp -a：查看ARP缓存表

arp -d：清除ARP缓存

arp -s：ARP绑定

4、ARP攻击或欺骗的原理是：

  通过发送伪造虚假的ARP报文（广播或单播），来实现的攻击或欺骗！

  如虚假报文的mac是伪造的不存在的，实现ARP攻击，结果为中断通信/断网！

  如虚假报文的mac是攻击者自身的mac地址，实现ARP欺骗，结果可以监听、窃取、篡改、控制流量，但不中断通信！

5、ARP协议没有验证机制，所以容易被arp投毒攻击

6、ARP攻击者通过发送虚假伪造的arp报文对受害者进行ARP缓存投毒

三、路由器的工作原理

1、一个帧到达路由，路由器首先检查目标MAC地址是否自己，如果不是则丢弃；如果是则解封装，并将IP包送到路由器内部

2、路由器检查IP包头中的目标IP，并匹配路由表，如果匹配失败，则丢弃，并向源IP回馈错误信息；如匹配成功，则将IP包路由到出接口。

3、封装帧，首先将出接口的MAC地址作为源MAC封装好，然后检查ARP缓存表，检查是否有下一跳的MAC地址，如有，将提取并作为目标MAC地址封装到帧中；如没有，则发送ARP广播请求下一跳的MAC，并获取到对方的mac地址，再记录缓存，并封装帧，最后将帧发送出去。

四、ARP攻击防御：

1、静态ARP绑定：手工绑定/双向绑定

  1）windows客户机上：

   arp -s 10.1.1.254  00-01-2c-a0-e1-09

   arp -a  查看ARP缓存表

  2）路由器上静态绑定：

Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0

优点：配置简单

缺点：工作量大，维护量大

2、ARP防火墙

  自动绑定静态ARP，主动防御

  优点：简单易用

  缺点：当开启人数较多时，会增大网络负担

3、硬件级ARP防御：

  交换机支持“端口”做动态ARP绑定（配合DHCP服务器）或做静态ARP绑定