ARP基础概念

ARP地址解析协议
作用:把IP地址解析为MAC地址
数据在以太链路上以以太网帧的形式传输，要在以太网中传输IP数据包，必须知道IP对应的MAC

ARP报文内容

Frame 1293: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface 0
Ethernet II, Src: localhost (e4:d5:3d:a2:64:95), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
    Destination: Broadcast (ff:ff:ff:ff:ff:ff)
    Source: localhost (e4:d5:3d:a2:64:95)
    Type: ARP (0x0806)
Address Resolution Protocol (request)
    Hardware type: Ethernet (1) #值为1表示以太网地址

    Protocol type: IPv4 (0x0800)#值为0x0800表示IP地址

    Hardware size: 6
    Protocol size: 4
    Opcode: request (1)#1表示ARP请求、2表示ARP应答、反向ARP请求（3）、反向ARP响应（4）

    Sender MAC address: localhost (e4:d5:3d:a2:64:95)
    Sender IP address: localhost (192.168.0.104)
    Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)
    Target IP address: localhost (192.168.0.120)

ff:ff:ff:ff:ff:ff地址意味着数据链路上的所有设备都将收到该帧，并且要检查帧内封装的数据包，除了目标地址可以识别外，其它设备都会丢弃此数据包，此时目标将向源地址发送ARP响应数据包，提供它的MAC地址

防止陈旧信息占满ARP表，ARP表项同时也存在老化时间，时间一到有的ARP就重置一下（不是所有ARP），此时会存在短暂的断网

ARP有几种变形，有一种对路由选择十分重要，它叫代理ARP（缺省ARP代理是打开的）
Proxy ARP:跨网段的ARP请求，出口路由器设备将自身MAC地址回复该请求

proxy ARP优点:
1、最主要的一个优点就是能够在不影响其他router的路由表的情况下在网络上添加一个新的router,这样使得子网的变化对主机是透明的
2、PC不用配置网关、也解决了冗余备份（4个小时arp表消失）

proxy ARP缺点:
1、增加了某一网段上ARP流量
2、主机需要更大的ARP table来处理IP地址到MAC地址的映射
3、安全问题,比如ARP欺骗(spoofing)
4、不会为不使用ARP来解析地址的网络工作
5、不能够概括和推广网络拓扑
6、arp表消失需要4个小时

正向代理:客服端去请求服务器，隐藏了真实客户端，代理对象是客户端
反向代理:隐藏了真实服务器，代理对象是服务器

RARP反向地址解析协议:把MAC地址解析为IP地址(用于无盘工作站)

免费ARP：发送端IP地址和目标IP地址都是本机IP地址，报文源MAC地址也是本机MAC地址，报文的目的MAC地址是广播地址
免费ARP的功能：
1、检测是否有IP地址冲突（手动配置IP地址主机首先发起免费ARP）
2、改变硬件地址更新ARP表项

免费ARP：用于检查重复的IP地址和通告新的MAC地址

ARP协议本身不提供ARP报文的合法性检查和流量抑制

ARP miss消息是数据报文转发时ARP查询失败触发的内部消息，该消息通知CPU学习ARP表项，即生成临时ARP表项并发送ARP广播，会消耗很多系统资源，因此ARP Miss消息是泛洪攻击经常利用的对象

ARP攻击的原理，攻击者可以发送伪造ARP报文对网络进行攻击
攻击方式
1、ARP泛洪攻击:攻击者大量伪造ARP报文，使得设备ARP表项资源被无效的ARP条目耗尽，合法用户不能继续生产ARP条目，导致正常通信中断
2、ARP欺骗:攻击者发送伪造的ARP报文，恶意修改网络内部其它设备的ARP表项，造成设备之间的报文收发异常
3、ARP Miss攻击:攻击者向设备发送大量目标IP地址不能解析的IP报文，导致设备触发大量ARP Miss消息，生成大量临时ARP表项，并广播大量ARP请求报文，造成CPU负荷过重

解决方式:
1、ARP报文限速，针对源IP，源MAC限速
2、ARP消息限速
3、ARP严格学习
4、ARP表项限制
5、ARP表项固化
6、动态ARP检测等策略ARP攻击的影响
1、网络环境不稳定，大面积断网
2、非法获取游戏、文件服务等系统的账号和口令

ARP欺骗（发送免费ARP）
1、临时解决采用静态MAC地址绑定（不一定可行）
2、动态ARP检测必须结合dhcp snooping 
也定义了两种接口: 
默认是untrust、不收arp request消息、对应dhcp snooping binding 表中有，则传、没有、丢弃

解决ARP病毒攻击的:在防火墙上拒绝icmp协议通过隐藏真实的IP地址

ARP表分为静态ARP表项、动态ARP表项