ARP介紹

地址解析協議ARP（Address Resolution Protocol）：根據IP地址獲取對應的物理MAC地址，屬於網路層協議。是網路層和鏈路層的重要樞紐；

ARP快取表

（在ARP快取表中，有三個選項即IP地址、MAC地址和學習的型別方式，儲存了本地IP地址和MAC地址的對映條目）

免費ARP

1. IP地址衝突檢測：主機在開機後傳送免費ARP，用來確定是否在網路中存在了一臺主機設定了一樣的IP地址，如果有主機回覆了該免費ARP，則代表IP地址衝突；
2. 更新MAC地址：可以使收到該免費ARP的主機更新自己的ARP快取表；

ARP工作過程

一、區域網內（同網段）

1. 每個主機在自己的ARP緩衝區建立ARP列表；
2. 每當有一個網路介面加入網路時（或者重啟、MAC地址變化等原因），會傳送免費ARP，讓網路中其他主機更新自己的ARP快取表中的對映關係；
3. 當主機A要傳送報文給主機B時，首先檢查ARP快取表中是否存在主機B的對映條目，如果有直接轉發資料，如果沒有向網段內發生ARP請求廣播包（包含源IP地址和MAC地址為主機A的IP地址和MAC地址，目的IP地址為主機B的IP地址，目的MAC地址為全F廣播地址等內容）；
4. 當交換機收到後因為是廣播地址便向網段內泛洪；
5. 當主機C（非目的主機）收到該ARP請求廣播包，由於目的IP地址不是自己，如果ARP快取表中存在源IP地址（即主機A）的對映條目，則更新條目並丟棄該資料包，如果ARP快取表中不存在條目，則直接丟棄（若開啟了ARP學習功能，則會新建條目再丟棄）；
6. 當主機B（目的主機）收到該ARP請求廣播包，會建立或覆蓋ARP快取表中的對映條目，然後將自己的MAC地址填入ARP應答單播包回應給主機A；
7. 主機A收到ARP應答單播包，將對映加入ARP快取表，將MAC地址封裝在資料包中，進行正常通訊；

二、跨網段

1. 跨網段下操作同區域網內差別不大，區別在ARP請求廣播包請求的是閘道器的MAC地址，閘道器會單播傳送ARP應答單播包回覆閘道器的MAC地址；

ARP報文

欄位	說明
OP	為1代表ARP請求，為2代表ARP應答

代理ARP

應用場景：出現跨網段的ARP請求時，路由器會攔截該請求並將自己的MAC地址返回給傳送ARP廣播請求的傳送者，作為通訊的中間代理；

ARP欺騙

說明：在網路內，一臺主機接收了目的IP地址不是自己的ARP廣播請求，並回復了ARP應答單播包，告訴請求者自己就是請求者的目的主機，此時請求者會受到2個ARP單播應答包（一個是真實目的主機回覆，一個是攻擊者），此時請求者會以後到達的ARP應答單播包為真的更新自己的ARP快取表（所以攻擊者需要不斷的傳送保證自己是後到達的一方），之後被攻擊者發生的資訊會傳送給攻擊者；
分類：有對路由器ARP表的欺騙、對內外PC的閘道器欺騙兩種方式；
預防：靜態繫結IP地址與MAC地址；