1.ARP: 地址解析协议

   把已知IP地址，解析成Mac地址

   网络通信的基础协议

   注：ARP协议分为两种包类型

       ARP request       请求包

       ARP reply       回应包

2.ARP攻击和欺骗

利用ARP协议的漏洞（无分辨接受任何主机的arp回应包），伪造任何主机的Mac地址

   arp攻击：无法通信

   arp欺骗：窃取数据

   arp攻击实现方式：

       欺骗其他所有计算机：制造假的arp应答，并发送给局域网中除了被攻击主机以外的计算机，应答包中包含被攻击者的ip和虚假mac地址

       欺骗被攻击计算机:   制造假的arp应答,并发送给被攻击的计算机，应答包中包含其它计算机的ip和虚假的mac地址

   arp欺骗的实现方式：

       ARP欺骗网关(冒充网关):arp应答包中包含网关的ip地址和攻击者的mac地址

       ARP欺骗网关(冒充主机):arp应答包中包含主机的ip地址和攻击者的mac地址

总结：arp攻击： 攻击者向被攻击者发送错误的mac

     arp欺骗： 攻击者向被攻击者自己的mac

3.防范ARP攻击

（1）静态绑定ARP，真实环境不太现实 必须在主机和网关双向绑定

       主机上绑定

       先查看网卡的id

       netsh interface ipv4 show neighbors

       再进行绑定

       语法：netsh interface ipv4 set neighbors 网卡id  目标主机ip地址  目标主机mac地址

       示例：netsh interface ipv4 set neighbors 11 10.0.0.178 00-1a-e2-df-07-41

       如果是xp系统用：arp  -s  目标主机ip地址  目标主机mac地址

   网关路由器上绑定

       语法：Router(config)#arp 目的主机ip地址 目标主机mac地址 arpa 接口

       示例：Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0

   交换机上绑定

       语法：Switch(config)#arp 目的主机ip地址 目标主机mac地址 arpa 接口

       示例：Switch(config)#arp 10.0.0.12 90fb.a695.4445 arpa f0/2

   查看arp缓存表：arp  -a

   清除arp缓存表：arp  -d

     

（2）安装ARP防火墙，或企业级防火墙（自带ARP防火墙功能）

4.查找ARP攻击的计算机

   MAC地址为真实计算机地址

       查看网络信息记录表迅速定位计算机

       MAC地址为虚假地址

   查看交换机的MAC地址表，确定此MAC所属端口

       Switch#show mac address-table address 001f.caff.1003

5.分析arp包

   arp请求包

       opcode 1 (arp request)

       sender's hardware address = 000c298f72dd

       sender's protocol address = 192.168.0.1

       Target's hardware address = 000000000000

       Target's protocol address = 192.168.0.2

   arp应答包

       opcode 2 (arp reply)

       sender's hardware address = 000c29743dcc

       sender's protocol address = 192.168.0.2

       Target's hardware address = 000c298f72dd

       Target's protocol address = 192.168.0.1

     

6.抓包工具

   sniffer

   wireshark