ARP协议，ARP攻击及解决办法

 

1. 在OSI模型的数据链路层。
2. 主机间通信时用来将目标IP地址转换成目标MAC地址(链路层只认MAC地址)，使"包"转换成"帧"后在链路层传输。
3. 每台电脑里都有一个ARP缓存表，表里IP地址与MAC地址对应。
4. 主机A（192.168.1.5）向B（192.168.1.1）发送数据。A在自己的ARP缓存表中寻找目标IP地址。如果找到，把目标MAC地址写入帧里发送。没找到，A在网络上发送目标MAC地址是“FF。FF。FF。FF。FF。FF”(表示同一网段内的所有主机)的广播，询问：“192.168.1.1的MAC地址是什么？”网络上其他主机不响应，只有主机B接收到帧时回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。主机A知道了B的MAC，就可以给B发送信息。同时它还更新了ARP缓存表，下次给B发信息时，从缓存表里可直接查到。缓存表某一行在一段时间内没有使用，会被删除。减少表的长度加快查询。
5. MS_DOS下
命令“arp -a”可查看ARP缓存表中内容
      “arp -d”可删除ARP表中某一行内容
      “arp -s”可手动绑定ARP表中指定IP地址与MAC地址的对应
ARP 攻击的表现
1. 使用校园网时突然掉线，过一段时间后恢复正常。IE浏览器频繁出错，以及一些常用软件出现故障等。
2. 如果校园网是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网
ARP 攻击的原理
ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。
    第一种ARP欺骗的原理是――截获网关数据。它不断向路由器发送一系列错误的内网MAC地址，使真实信息无法通过更新保存在路由器中，造成正常PC无法收到信息。
    第二种ARP欺骗的原理是――伪造网关。它是建立假网关，让被它欺骗的PC向假网关发数据，使PC无法上网。
ARP 攻击的解决办法
1. “ CTRL ”+“ ALT ”+“ DEL ”键，“任务管理器”，“进程”察看有没“ MIR0。dat ”的进程。有，已经中毒。“结束进程”。
2. "开始"，"运行"，"cmd"，"ipconfig/all"记录网关IP地址; "ARP -a"记录网关对应MAC地址
正常上网时，次MAC正确。 无法上网时，该MAC为毒源计算机MAC。
3. "arp �Cs 网关 IP 网关物理地址"命令绑定ARP对应关系。
4. "tracert -d www. anynoumous. com(任意网址)"命令，返回的第一行的IP地址为毒源IP。
5. 使用Anti Arp Sniffer 软件。