1、什么是ARP協(xié)議

ARP協(xié)議全程地址解析協(xié)議（AddressResolution Protocol，ARP）是在僅知道主機(jī)的IP地址時(shí)確定其物理地址的一種協(xié)議。因IPv4和以太網(wǎng)的廣泛應(yīng)用，其主要作用是通過(guò)已知IP地址，獲取對(duì)應(yīng)物理地址的一種協(xié)議。

2、什么是ARP代理（ARP proxy）

在網(wǎng)絡(luò)中代理是非常常見(jiàn)的，所謂的代理就是我朝一個(gè)人要，另外一個(gè)人給。生活中一個(gè)比較實(shí)際的例子就是，房屋中介。

Arp協(xié)議要求通信的主機(jī)的雙方必須是在物理的同一個(gè)網(wǎng)段。那如果發(fā)送主機(jī)和目標(biāo)主機(jī)不是在同一個(gè)局域網(wǎng)里，而ARP廣播包是不能夠跨越網(wǎng)段進(jìn)行傳輸?shù)摹Ｋ源藭r(shí)就需要一個(gè)路由或ARP中繼技術(shù)來(lái)轉(zhuǎn)發(fā)ARP請(qǐng)求包。客戶(hù)端獲取到的mac地址是路由器或者中繼的MAC地址。那么之后這個(gè)客戶(hù)端發(fā)給目的端的數(shù)據(jù)，都會(huì)先發(fā)給這個(gè)路由器或ARP中繼，再進(jìn)而轉(zhuǎn)給目的端，這種情況就稱(chēng)為ARP代理。

3、arp協(xié)議工作原理

原理圖：

當(dāng)主機(jī)10.0.0.1要發(fā)送數(shù)據(jù)給10.0.0.2數(shù)據(jù)，會(huì)首先去查本地的arp緩存表，如果有此IP地址和此主機(jī)對(duì)應(yīng)的MAC地址，如果有就可以直接傳輸數(shù)據(jù)。如果沒(méi)有就主機(jī)10.0.0.1就會(huì)向局域網(wǎng)去廣播，詢(xún)問(wèn)誰(shuí)的IP地址是10.0.0.2.此時(shí)在本局域網(wǎng)中的所有主機(jī)都能夠收到此廣播包，但只有主機(jī)10.0.0.2才會(huì)回應(yīng)這個(gè)廣播包。會(huì)以單播的形式直接回復(fù)10.0.0.2說(shuō)我的MAC地址為多少。此時(shí)10.0.0.1收到了此信息，那么兩者之間就能夠通過(guò)MAC地址進(jìn)行通信了。并且將這個(gè)ARP和IP對(duì)應(yīng)信息緩存到ARP緩存表里。

4、ARP欺騙工作原理：

ARP欺騙就是通過(guò)偽造IP地址和MAC地址對(duì)實(shí)現(xiàn)ARP欺騙的，它能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP包，來(lái)讓網(wǎng)絡(luò)堵塞。攻擊主機(jī)只要持續(xù)的發(fā)送假的ARP包，讓網(wǎng)絡(luò)中的主機(jī)緩存錯(cuò)誤的IP-MAC對(duì)應(yīng)信心，造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是在局域網(wǎng)中的，因?yàn)锳RP包是不會(huì)垮網(wǎng)絡(luò)傳播的。所以劃分VLAN能夠減少當(dāng)受到ARP攻擊后，網(wǎng)絡(luò)受影響的范圍。

ARP欺騙過(guò)程圖及講解：

ARP欺騙防御辦法

1）進(jìn)行MAC和IP地址進(jìn)行綁定

2）殺毒軟件開(kāi)啟arp防火墻

ARP病毒排查

1）使用arp ?a命令查看本地arp緩存表，查看重復(fù)MAC地址或在交換機(jī)路由器上查看重復(fù)MAC地址。

2）使用ARP防御軟件或檢測(cè)軟件（如：科萊，彩影arp防火墻分析流量，查找可以攻擊源）

3）使用折半法排除網(wǎng)絡(luò)出錯(cuò)范圍。（如先斷開(kāi)一般的網(wǎng)絡(luò)查看是否正常，如果正常就說(shuō)明斷開(kāi)的那部分有問(wèn)題。然后再接上剩下的那一半繼續(xù)查看，依次類(lèi)推最終找到問(wèn)題點(diǎn)）

當(dāng)然排查、預(yù)防ARP攻擊的方法有很多，大家可以自己尋找。

轉(zhuǎn)自：https://my.oschina.net/mxs/blog/596559