本文共 1149 字，大约阅读时间需要 3 分钟。

一：广播与广播域概述

广播与广播域

• 广播：将广播地址做为目的地址的数据帧
• 广播域：网络中能接收到同一个广播所有节点的集合

MAC地址广播

• 广播地址为FF-FF-FF-FF-FF-FF

IP地址广播

• 1）255.255.255.255
• 2）广播IP地址为IP地址网段的广播地址，如192.168.1.255/24

二：ARP协议概述：

什么是ARP协议？

• 1.地址解析协议

• 2.作用：将IP解析为MAC地址

• 3.原理：

  1）发送ARP广播请求 ARP报文内容:我是10.1.1.1 我的mac：AA
  谁是10.1.1.3 你的mac：？
  2）接收ARP单播应答

• 4.ARP攻击或欺骗的原理是： 通过发送伪造虚假的ARP报文（广播或单播），来实现的攻击或欺骗！ 如虚假报文的mac是伪造的不存在的，实现ARP攻击，结果为中断通信/断网！

  如虚假报文的mac是攻击者自身的mac地址，实现ARP欺骗，结果可以监听、窃取、篡改、控制流量，但不中断通信！

• 5.ARP协议没有验证机制，所以容易被arp投毒攻击

• 6.ARP攻击者通过发送虚假伪造的arp报文对受害者进行ARP缓存投毒

• 7.路由器的工作原理

  1）一个帧到达路由，路由器首先检查目标MAC地址是否自己，如果不是则丢弃，如果是则解封装，并将IP包送到路由器内部

  2）路由器检查IP包头中的目标IP，并匹配路由表，如果匹配失败，则丢弃，并向源IP回馈错误信息，如匹配成功，则将IP包路由到出接口。

  3）封装帧，首先将出接口的MAC地址作为源MAC封装好，然后检查ARP缓存表，检查是否有下一跳的MAC地址，如有，将提取并作为目标MAC地址封装到帧中，如没有，则发送ARP广播请求下一跳的MAC，并获取到对方的mac地址，再记录缓存，并封装帧，最后将帧发送出去。

• 8.如果公司有人在做ARP欺骗，该如何找到此人？

三：ARP攻击防御：

常见的APR攻击工具cain

1.静态ARP绑定 手工绑定/双向绑定 windows客户机上： arp -s 10.1.1.254 00-01-2c-a0-e1-09 arp -a 查看ARP缓存表 路由器上静态绑定： Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0 优点：配置简单 缺点：工作量大，维护量大

2.ARP防火墙

自动绑定静态ARP 主动防御 优点：简单易用 缺点：当开启人数较多时，会增大网络负担

3.硬件级ARP防御：

交换机支持“端口”做动态ARP绑定（配合DHCP服务器） 或做静态ARP绑定

如：

conf t ip dhcp snooping int range f0/1 - 48 switch(config-range-if)#

转载地址：https://codeboy.blog.csdn.net/article/details/116334413 如侵犯您的版权，请留言回复原文章的地址，我们会给您删除此文章，给您带来不便请您谅解！