ARP及ARP攻击

1.  ARP: address resolution protocol. ARP为IP地址和对应的MAC地址提供动态映射。（MAC，media access control，也称作硬件地址）

2.  发送端主机发送一份ARP请求的以太网数据帧给以太网上的每个主机。ARP请求数据帧中包含目的主机的IP地址，其意思是“如果你是这个IP地址的拥有者，请回答你的硬件地址”。目的主机的ARP层收到这份广播报文后，识别出这是发送端在询问它的IP地址，于是发送一份ARP应答。这个ARP应答包含IP地址及对应的硬件地址。收到ARP应答之后，使ARP进行请求-应答交换的IP数据报就可以传送了。

3.  每个主机上都有一个ARP高速缓存。这个缓存存放了最近IP地址到MAC地址的映射记录。每一项记录的生存时间一般为20分钟。

4.  ARP攻击：感染ARP木马的系统通过伪造IP地址和MAC地址进行欺骗，在局域网中产生大量的ARP通信量，导致网络阻塞。

5.  ARP攻击检测方法：在ARP数据包中，以太网首部和ARP分组中都包含了本机的MAC地址，正常数据包中二者应该一致。如果发现一个ARP应答包中两者不一致，就可以认定这是一个ARP攻击包。

参考文献

1.  TCP-IP协议详解