ARP地址解析协议

ARP协议讲解：
1.地址解析协议
2.作用：将IP解析为MAC地址
3.ARP协议工作原理：

1. ARP请求（ARP Request）： 当主机需要向一个已知IP地址的设备发送数据包时，首先检查本地ARP缓存（ARP Cache）看是否有该IP地址对应的MAC地址。如果没有，主机就会构造一个ARP请求广播帧，询问该IP地址对应的MAC地址是谁。

2. ARP广播： ARP请求以广播的方式发送到本地网络中的所有设备。广播帧中包含了请求者的IP地址和MAC地址以及目标IP地址。

3. ARP响应（ARP Reply）： 目标设备接收到ARP请求后，发现自己IP地址与请求中的目标IP地址相符，便会构造一个ARP响应单播帧，将自己的MAC地址返回给请求者。

4. 缓存更新： 请求者收到ARP响应后，将目标设备的IP地址与MAC地址对应关系存储到自己的ARP缓存中，后续可以直接使用该MAC地址发送数据包。

5. 缓存老化： ARP缓存中的条目不会永久存储，而是有一定的生存时间（TTL），超过这个时间没有再次交互，条目将被清除，以应对网络拓扑的变化。

4.ARP攻击或欺骗的原理是：
  通过发送伪造虚假的ARP报文（广播或单播），来实现的攻击或欺骗！
  如虚假报文的mac是伪造的不存在的，实现ARP攻击，结果为中断通信/断网！
  如虚假报文的mac是攻击者自身的mac地址，实现ARP欺骗，结果可以监听、窃取、篡改、控制流量，但不中断通信！

5.ARP协议没有验证机制，所以容易被arp投毒攻击

6.ARP攻击者通过发送虚假伪造的arp报文对受害者进行ARP缓存投毒

防范：

•静态ARP绑定：在网络设备上手动配置ARP表，将IP地址和MAC地址静态绑定，防止被虚假ARP信息覆盖。

•ARP表严格检查：使用ARP防护功能，如ARP Inspection，允许交换机根据IP地址和MAC地址的关系验证ARP请求和应答的合法性。

•DHCP Snooping：启用DHCP Snooping功能，对DHCP租约进行监控，防止非法设备冒充DHCP服务器分配错误的IP和MAC地址映射。

•使用802.1X认证：通过802.1X网络访问控制协议，只有通过认证的设备才能接入网络，降低ARP欺骗的风险。

7.路由器的工作原理
1）一个帧到达路由，路由器首先检查目标MAC地址是否自己，如果不是则丢弃，如果是则解封装，并将IP包送到路由器内部

2）路由器检查IP包头中的目标IP，并匹配路由表，如果匹配失败，则丢弃，并向源IP回馈错误信息，如匹配成功，则将IP包路由到出接口。

3）封装帧，首先将出接口的MAC地址作为源MAC封装好，然后检查ARP缓存表，检查是否有下一跳的MAC地址，如有，将提取并作为目标MAC地址封装到帧中，如没有，则发送ARP广播请求下一跳的MAC，并获取到对方的mac地址，再记录缓存，并封装帧，最后将帧发送出去。

8.如果公司有人在做ARP欺骗，该如何找到此人？