首先,ARP协议工作在网络层。
ARP是Address Resolution Protocol的缩写
中文名:地址 解析 协议
作用:已知对方的IP地址,获取对方的MAC地址
原理/过程:1)发送ARP广播请求 2)回应ARP单播应答。
arp - a 是查看ARP缓存表的命令。
ARP协议的漏洞:在ARP缓存表上是后到后得,意思就是会始终更新最新的ARP缓存表,并且在学习其对应关系的时候不进行身份验证。
ARP攻击与欺骗:原理是一样的,攻击是伪装一个不存在的MAC地址,因为没有此MAC地址,所以实现中断通信。
欺骗是发送的MAC地址是攻击人自己的,这样双方交流的信息都会发送到中间人的pc上,再由中间人转发出去,中间人可以实现信息截获。
ARP攻击欺骗是通过发送广播还是单播实现的?
若中间人伪装的是网关,则通过广播实现;
若是伪装的某台pc,则通过的单播实现。
ARP攻击防御:
1、 静态ARP绑定:将双方的IP与MAC地址在企业级交换机手工绑定好。
优点:简单有效 缺点:工作量大
2、 开启ARP防火墙:一般pc发送ARP广播请求后,目标pc只会单播回应一次,开启ARP防火墙之后,目标电脑pc也会不断的发送ARP应答。
优点:简单有效,成功率非100% 缺点:会加大网络负担。
3、 硬件级ARP防御:交换机端口支持静态ARP绑定或交换机端口支持动态学习DHCP中的IP地址与MAC地址,动态的形成ARP绑定表。
