ARP信息

一、ARP攻击（Address Resolution Protocol）地址解析协议

　　1、ARP欺骗攻击---仿冒网关（中间人攻击）

　　　　攻击者发送伪造的网关ARP报文，欺骗同网段的其他主机。

　　　　主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常上网。

　　　　终端解决：手动设置MAC地址和IP地址绑定

　　2、ARP欺骗攻击--欺骗网关

　　　　攻击者伪造虚假的ARP报文，欺骗网关相同网段的某一合法用户的MAC地址已经更新。

　　　　网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

　　3、ARP泛洪攻击--无法服务攻击，CPU会很高。

　　　　攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网。

　　　　设备层面解决：一般会有CPU保护，每种报文，不能超过阈值（限流），超过就丢包。

　　　　技术层面解决：DHCP Snooping协议，IPSG协议（禁止手动配置IP，必须DHCP自动获取的才能上网）。

　　4、普通ARP、代理ARP、免费ARP原理及应用场景解析

　　　  普通ARP

　　　  代理ARP：解析的目的IP和设备接收到ARP报文接口的IP地址不在一个网段，静态路由，只有出接口，没有下一跳的时候，会触发代理ARP。

　　　  免费ARP：免费ARP用于在DHCP客户端中用于查询是否IP地址冲突（封装的源ip和目标ip地址一致），MAC地址变化，免费ARP通告。