ARP协议分析

ARP协议用于将一个已知的IP地址解析成MAC地址

ARP缓存

arp -a　　//查看缓存

arp -d　　//清理缓存

原理

1）发送ARP广播请求　　//广播MAC地址FF-FF-FF-FF-FF-FF

　　　　内容 ：我IP 我MAC

　　　　　　　谁是10.1.1.1 你的MAC

2）接收ARP单播应答

ARP攻击或欺骗的原理 通过发送伪造虚假的ARP报文（广播或单播），来实现的攻击或欺骗！
如虚假报文的mac是伪造的不存在的，实现ARP攻击，结果为中断通信/断网！
如虚假报文的mac是攻击者自身的mac地址，实现ARP欺骗，结果可以监听、窃取、篡改、控制流量，但不中断通信！

5.ARP协议没有验证机制，所以容易被arp投毒攻击

6.ARP攻击者通过发送虚假伪造的arp报文对受害者进行ARP缓存投毒

 

ARP攻击防御

1.静态ARP绑定 手工绑定/双向绑定
windows客户机上：
arp -s 10.1.1.254 mac地址 
arp -a 查看ARP缓存表
路由器上静态绑定：
Router(config)#arp 10.0.0.95 mac地址 arpa f0/0
优点：配置简单
缺点：工作量大，维护量大

2.ARP防火墙
自动绑定静态ARP
主动防御
优点：简单易用
缺点：当开启人数较多时，会增大网络负担

3.硬件级ARP防御：
交换机支持“端口”做动态ARP绑定（配合DHCP服务器）
或做静态ARP绑定

如：
conf t
ip dhcp snooping
int range f0/1 - 48
switch(config-range-if)#