ARP协议

广播与广播域概述

·广播与广播域

-广播：将官博地址作为目的地址的数据帧

-广播域：网络中能接收到同一个广播所有节点的集合



·MAC地址广播

-广播地址为FF-FF-FF-FF-FF-FF

·IP地址广播

1）255.255.255.255

2）广播IP地址为IP地址网段的广播地址，如192.168.1.255/24 

ARP协议概述

什么是ARP协议

​ Address Resolution Protocol，地址解析协议

​ 将一个已知的IP地址解析成MAC地址

为什么需要ARP协议

网络设备有数据要发送给另一台网络设备时，必须要知道对方的IP 地址。IP的hi子由网络层来提供，但是仅有IP地址是不够的，IP数据报文必须封装成帧才能通过数据链路进行发送。输一局帧必须要包含目标的MAC地址，因此发送数据的那一台设备必须获取到目的MAC地址。

ARP协议过程

1）PC1发送数据给PC2，查看缓存没有PC2的MAC地址

2）PC1发送ARP请求消息（广播）

3）所有主机收到ARP请求消息

​ PC2回复ARP应答（单播）

​ 其他主机丢弃

4)PC1将PC2的MAC地址保存到缓存中，发送数据

ARP攻击/欺骗

简单原理：

通过发送伪造虚假的ARP报文 (广播或单播)，来实现的攻击或欺骗。

如虚假报文的mac是伪造的不存在的或者是别人的，实现ARP攻击，结果为中断通信/断网

如虚假报文的mac是攻击者自身的mac地址，实现ARP欺骗，结果可以监听、窃取、篡改、控制流量但不中断通信。

攻击方式：

主动扫描：

​ Hacker接入了一个陌生的WIFI网络，但是只知道自己的IP地址，还有网关地址。其他的信息都不知道（局域网设备数量，其他设备的 IP地址是多少），这时候Hacker就要通过ARP工具对这个WIFI网络进行扫描。具体方式是通过“盲扫”或者“暴力扫描”，将这个网段的IP地址都来ARP广播一次，通过应答信息来确认有什么设备，它对应的MAC，以及一些设备厂商信息。

​ 通过这种主动扫描的方式，能得知局域网里面所有设备的信息。

​ 这时候Hacker可以对外宣称自己是“所有人”（即可以是任何一个人），这样子可以覆盖掉其他主机的ARP缓存信息表，并生成错误的ARP映射，最终将通信流量交给Hacker。Hacker将这段通信流量丢弃，就能做到中断对方的通信。

​ 另外一种就是告诉所有人，自己就是网关。让局域网所有人的网络数据都传给Hacker，Hacker后续转发到互联网，做到不断网但是可以监听用户数据。

被动监听：

​ 现在设有3台主机位于局域网中，之间通过交换机联通。

现在PC1需要和PC2进行通信，因为PC1的ARP表中没有PC2的记录，接着会采用广播的方式向全体发送ARP请求。正常情况下，若收到的ARP请求不是自己的，则直接丢弃；而这里的HACKER在监听后直接发起ARP回应包：我就是PC2

现在PC1收到了两个ARP回应包，内容分别如下：

1）我是PC2，我的IP是IP2，我的MAC地址是MAC2；

2）我是PC2，我的IP是IP2，我的MAC地址是MAC3；

这时候PC1的选择优先级是---选择最新的ARP回应包（最晚到达的）

对于如何让HACKER自己的ARP回应包是后到的，只要HACKER对外不断的发出ARP欺骗包，就一定能够覆盖掉正常的ARP回应包。那么接下来PC1就建立了一个错误的ARP缓存表，此后的数据都会发送给HACKER。

ARP攻击防御

1）静态ARP绑定：

手工绑定/双向绑定（网段人数较多时，操作数量大）

windows客户机：

arp -s 网关ip 网关MAC地址

2）ARP防火墙：

自动绑定静态ARP

主动防御（网段人数较多时，容易对网关造成负担）

3）硬件级ARP防御：

交换机支持“端口”做动态ARP绑定（配合DHCP服务器）或者做静态ARP绑定