一、ARP协议
1、广播与广播域概述
1)广播与广播域
广播:将广播地址作为目的地址的数据帧
广播域:网络中能接收到同一个个广播所有节点的集合
交换机不能控制广播域,路由器能控制广播域
2)MAC地址广播
广播地址:FF-FF-FF-FF-FF-FF
3)IP地址广播
1、255.255.255.255
2、广播IP地址为IP地址网段的广播地址,如192.168.1.255/24
2、ARP协议概述
ARP协议:Address Resolution Protocol 地址解析协议
用途:将一个已知的IP地址解析成MAC地址
Windows系统中的ARP命令
arp -a 查看ARP缓存表(arp缓存表只有开机时生效)
arp -d 清除ARP缓存(本次开机学习的)
arp -s ARP绑定
3、ARP协议工作原理
1)判断是否同一个网段
当判断目标IP与自己为同一网段时,直接发送ARP请求报文去请求对方的MAC地址,当判断目标IP与自己不在同一网段时,发送ARP报文请求网关的MAC地址
2)发送ARP广播请求
- 生成ARP请求报文(写本机的IP地址和MAC地址,询问目标IP的MAC地址)
- 送到网卡,网卡给ARP请求报文加一个帧头(源MAC:自己,目标MAC:FF-FF-FF-FF-FF-FF)
- 交换机向所有端口进行广播
- 每台电脑收到帧后,去掉帧头帧尾送到网络层,ARP协议判断目标IP是否为自己
3)接收ARP单播应答
若目标IP是自己,则将自己的MAC地址填上去。再单播给原来的电脑,若不是,则不再进行
二、ARP欺骗与攻击
ARP协议没有验证机制
- 通过发送伪造虚假的ARP报文(广播或单播),来实现攻击或欺骗
- 如虚假报文的MAC是伪造的不存在的,实现ARP攻击,结果为终端通信/断网
- (中间人攻击)如虚假报文的MAC是攻击者自身的MAC地址,实现ARP欺骗,结果可以监听、窃取、篡改、控制流量,但不中断通信!
三、ARP防御
1、静态ARP绑定
手工绑定/双向绑定
Windows客户机上:arp -s 10.1.1.254 00-20-2c-a0-e1-o9
2、ARP防火墙
1、自动绑定静态ARP
2、主动防御
3、硬件级ARP防御
1、交换机支持”端口“做动态ARP绑定(配合DHCP服务器)
2、做静态ARP绑定