ARP协议以及攻击欺骗和防御

在网络层中，协议也是分层的，底层协议为上层协议服务，下图表示了网络层各个协议的关系：

这篇文章将详细介绍ARP协议

一、ARP协议

中文名是地址解析协议，使用ARP协议可实现通过IP地址获得对应主机的物理地址（MAC地址）。
ARP协议中，主要使用ARP缓存进行映射表的保存。ARP请求的发送方式是广播方式，而接收到请求的主机如果是该请求报文中的目的地址，则单独返回该主机的MAC地址。

所谓的“地址解析”，就是主机在发送帧之前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MA地址，以保证主机间相互通信的顺利进行。

ARP 协议和DNS有点相像之处。不同点是：DNS是在域名和IP之间的解析，另外，ARP协议不需要配置服务，而DNS要配置服务才行。

二、ARP欺骗

ARP工作时，首先请求主机会发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不必要的ARP通信。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除。

局域网上的一台主机，如果接收到一个ARP报文，即使该报文不是该主机所发送的ARP请求的应答报文，该主机也会将ARP报文中的发送者的MAC地址和IP地址更新或加入到ARP表中。

ARP欺骗攻击就利用了这点，攻击者主动发送ARP报文，发送者的MAC地址为攻击者主机的MAC地址，发送者的IP地址为被攻击主机的IP地址。通过不断发送这些伪造的ARP报文，让局域网上所有的主机和网关ARP表，其对应的MAC地址均为攻击者的MAC地址，这样所有的网络流量都会发送给攻击者主机。由于ARP欺骗攻击导致了主机和网关的ARP表的不正确，这种情况我们也称为ARP中毒。

根据ARP欺骗者与被欺骗者之间的角色关系的不同，通常可以把ARP欺骗攻击分为如下两种：

1. 主机型ARP欺骗：欺骗者主机冒充网关设备对其他主机进行欺骗
2. 网关型ARP欺骗：欺骗者主机冒充其他主机对网关设备进行欺骗
   

如何防止ARP欺骗？

1）在主机绑定网关MAC与IP地址为静态（默认为动态）
命令：arp -s 网关IP 网关MAC
2）ARP防火墙
下载地址：http://www.downza.cn/soft/189115.html