ARP
地址解析协议(Address Resolution Protocol)将IP地址解析成MAC地址。ARP报文封装在以太网帧中进行发送。
- ARP广播ARP请求分组,包括:源IP、源MAC、目的IP
- ARP响应。目的IP的主机,单播方式向ARP主机发送响应分组。包括:响应IP和MAC,源IP和MAC
- 源主机写高速缓存。高速缓存记录IP和MAC地址对应关系,生存时间过后被删除。
ARP病毒
- 广播风暴
- ARP木马使用ARP欺骗手段破坏客户机建立正确的IP和MAC的对应关系,把虚假的网关MAC地址发送给受害主机。
- 网络中大量的虚假ARP报文,即使主机没有感染ARP木马,也有可能导致网络访问不稳定。
ARP病毒解决
- 接入交换机绑定固定的MAC地址、查看接入交换机的端口异常(一个端口短时间出现多个MAC地址)
- 发现主机ARP缓存中的MAC地址不正确时可以执行arp-d命令清楚ARP缓存
- 主机使用“arp-s 网关IP 网关MAC”设置静态绑定
- 安装杀毒软件、为各类终端系统打补丁、交换机启用ARP病毒防治功能等