【网络安全】ARP协议与攻击

一、ARP协议

1、广播与广播域概述

1）广播与广播域

广播：将广播地址作为目的地址的数据帧

广播域：网络中能接收到同一个个广播所有节点的集合

交换机不能控制广播域，路由器能控制广播域

2）MAC地址广播

广播地址：FF－FF－FF－FF－FF－FF

3）IP地址广播

1、255.255.255.255

2、广播IP地址为IP地址网段的广播地址，如192.168.1.255/24

2、ARP协议概述

ARP协议：Address Resolution Protocol 地址解析协议

用途：将一个已知的IP地址解析成MAC地址

Windows系统中的ARP命令

arp -a 查看ARP缓存表（arp缓存表只有开机时生效）

arp -d 清除ARP缓存（本次开机学习的）

arp -s ARP绑定

3、ARP协议工作原理

1）判断是否同一个网段

当判断目标IP与自己为同一网段时，直接发送ARP请求报文去请求对方的MAC地址，当判断目标IP与自己不在同一网段时，发送ARP报文请求网关的MAC地址

2）发送ARP广播请求

1. 生成ARP请求报文（写本机的IP地址和MAC地址，询问目标IP的MAC地址）
2. 送到网卡，网卡给ARP请求报文加一个帧头（源MAC：自己，目标MAC：FF-FF-FF-FF-FF-FF）
3. 交换机向所有端口进行广播
4. 每台电脑收到帧后，去掉帧头帧尾送到网络层，ARP协议判断目标IP是否为自己

3）接收ARP单播应答

若目标IP是自己，则将自己的MAC地址填上去。再单播给原来的电脑，若不是，则不再进行

二、ARP欺骗与攻击

ARP协议没有验证机制

1. 通过发送伪造虚假的ARP报文（广播或单播），来实现攻击或欺骗
2. 如虚假报文的MAC是伪造的不存在的，实现ARP攻击，结果为终端通信/断网
3. （中间人攻击）如虚假报文的MAC是攻击者自身的MAC地址，实现ARP欺骗，结果可以监听、窃取、篡改、控制流量，但不中断通信！

三、ARP防御

１、静态ARP绑定

手工绑定/双向绑定

Windows客户机上：arp -s 10.1.1.254 00-20-2c-a0-e1-o9

2、ARP防火墙

1、自动绑定静态ARP

2、主动防御

3、硬件级ARP防御

1、交换机支持”端口“做动态ARP绑定（配合DHCP服务器）

2、做静态ARP绑定