ARP协议简介

what：

　　ARP，全称Address Resolution Protocol，地址解析协议。是根据IP地址获得对应物理MAC地址的一种TCP/IP协议。

 

where：

　　机器发送数据时，会先从自己的ARP缓存中，获得目标IP对于的物理MAC地址。如果没有或过期，那么就是向自己所在局域网的机器，广播发送目标IP的ARP请求，并接受返回的信息。在信息返回后，更新自己的ARP缓存，供下次使用。

 

　　缺陷：

　　　　缺陷来源：ARP是建立在网络中，各主机相互信任的基础上的。局域网中的各主机可以自主发送ARP应答报文。如果网络中有恶意的主机，发送的ARP应答主机地址是有恶意目的的，那么就会产生ARP欺骗。

 

　　　　ARP欺骗的状态：上网时断时续、无法ping通网关、运行arp -d 或者重启机器以后可以短暂恢复上网。

　　　　如何快速定位问题主机：

　　　　　　一. 在能上网的机器上，开始－－＞运行－－＞cmd，输入命令：arp –a 查看网关IP对应的正确MAC地址，将其记录下来。
　　　　　　二.在不能上网的机器利用arp -a命令将得到的结果与正确的网关MAC地址进行对比，如果不符，则该MAC地址基本上就是问题主机的实际MAC（当然也存在利用假MAC地址进行ARP欺骗的可能）
　　　　　　三.利用局域网扫描工具对该网段进行扫描，并且得到与该MAC地址相符的IP（如果ARP欺骗是针对全网欺骗可能扫到的所有IP的MAC都是病毒主机的，这个需要根据实际情况自行判断）

 

　　　　解决arp攻击的方法：在接入层使用可管理交换机对每台机器的IP与MAC地址进行绑定。（如果网络规模小可以使用硬件防火墙或者宽带路由器进行IP、MAC绑定）