ARP相关

ARP报文格式：

目的以太网地址，48bit，发送ARP请求时，目的以太网地址为广播MAC地址，即0xFF.FF.FF.FF.FF.FF。

源以太网地址，48bit。

帧类型，对于ARP请求或者应答，该字段的值都为0x0806。

硬件地址的类型。对于以太网，该类型的值为0x0001。

协议类型，对于IP地址，该值为0x0800。

硬件地址长度，对于ARP请求或者应答，该值为0x06。

协议地址长度，对于ARP请求或者应答，该值为0x04。

操作类型:对于ARP请求来说，该值为0x0001

?????????对于ARP应答来说，该值为0x0002.

?????????对于RARP请求来说，该值为0x0003.

?????????对于RARP应答来说，该值为0x0004.

发送方以太网地址：与以太网首部的源以太网地址是重复信息。

发送端IP地址: 32bit。

接收方以太网地址：发送ARP请求时，该处填充值为0x00.00.00.00.00.00

接收方的IP地址：32bit。

免费ARP：

普通 ARP 报文中的目标 IP 地址是其他主机的 IP 地址；而免费 ARP 的请求报文中，目标 IP 地址是自己的 IP 地址。

免费 ARP 数据包有以下 3 个作用：

• 该类型报文起到一个宣告作用。它以广播的形式将数据包发送出去，不需要得到回应，只为了告诉其他计算机自己的 IP 地址和 MAC 地址。
• 可用于检测 IP 地址冲突。当一台主机发送了免费 ARP 请求报文后，如果收到了 ARP 响应报文，则说明网络内已经存在使用该 IP 地址的主机。
• 可用于更新其他主机的 ARP 缓存表。如果该主机更换了网卡，而其他主机的 ARP 缓存表仍然保留着原来的 MAC 地址。这时，可以发送免费的 ARP 数据包。其他主机收到该数据包后，将更新 ARP 缓存表，将原来的 MAC 地址替换为新的 MAC 地址。

地址冲突的主机对于免费ARP响应也是需要回复的，回复的也是免费ARP响应，与其说是给地址冲突的主机回复，不如说是告诉整个广播域，我的IP才是xxx，然后源主机收到后又会广播免费ARP响应，两台地址冲突的主机轮流发。

一个MAC关联多个IP地址的场景：

无线路由器工作在无线中继模式下，这个中继下面连了一堆设备，每个设备都有IP，这些IP是上级路由器分配的，但是上级路由器却看不到他们的Mac地址，上级路由器只能看到这个中继的Mac，对上级路由器来说，只看到这个中继申请了一堆IP，而不知道中继是为他的下级设备申请的。

ARP防欺骗：

免费ARP防欺骗开关为ON， 1分钟内检测到30次以上（含30次）刷新本板ARP表中某IP地址对应MAC地址的请求，上报告警。

ARP黑名单：

一般ARP条目建立后，如果1分钟没有变化，则置为Trust状态。

动态黑名单老化机制：

支持黑名单的老化机制，默认的老化时间为20分钟。若20分钟里没有收到黑名单里对应MAC回应的ARP报文，则移出黑名单?，如果黑名单中的MAC在老化时间（20分钟）内发起攻击，则重新开始等待20分钟。