ARP应用

ARP缓存中包含一个或多个表，它们用于存储IP地址及其经过解析的MAC地址。ARP命令用于查询本机ARP缓存中IP地址-->MAC地址的对应关系、添加或删除静态对应关系等。如果在没有参数的情况下使用，ARP命令将显示帮助信息。常见用法arp -a或arp –g用于查看缓存中的所有项目。-a和-g参数的结果是一样的，多年来-g一直是UNIX平台上用来显示ARP缓存中所有项目的选项，而Windows用的是arp -a(-a可被视为all，即全部的意思)，但它也可以接受比较传统的-g选项。arp -a Ip如果有多个网卡，那么使用arp -a加上接口的IP地址，就可以只显示与该接口相关的ARP缓存项目。arp -s Ip 物理地址可以向ARP缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。arp -d Ip使用该命令能够人工删除一个静态项目。

ARP欺骗地址解析协议是建立在网络中各个主机互相信任的基础上的，它的诞生使得网络能够更加高效的运行，但其本身也存在缺陷：ARP地址转换表是依赖于计算机中高速缓冲存储器动态更新的，而高速缓冲存储器的更新是受到更新周期的限制的，只保存最近使用的地址的映射关系表项，这使得攻击者有了可乘之机，可以在高速缓冲存储器更新表项之前修改地址转换表，实现攻击。ARP请求为广播形式发送的，网络上的主机可以自主发送ARP应答消息，并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表，这样攻击者就可以向目标主机发送伪ARP应答报文，从而篡改本地的MAC地址表。ARP欺骗可以导致目标计算机与网关通信失败，更会导致通信重定向，所有的数据都会通过攻击者的机器，因此存在极大的安全隐患。防御措施

不要把网络安全信任关系建立在IP基础上或MAC基础上(RARP同样存在欺骗的问题)，理想的关系应该建立在IP+MAC基础上。

设置静态的MAC-->IP对应表，不要让主机刷新设定好的转换表。

除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。

使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

使用“proxy”代理IP的传输。

使用硬件屏蔽主机。设置好路由，确保IP地址能到达合法的路径(静态配置路由ARP条目)，注意，使用交换集线器和网桥无法阻止ARP欺骗。

管理员定期用响应的IP包中获得一个RARP请求，然后检查ARP响应的真实性。

管理员定期轮询，检查主机上的ARP缓存。

使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。

若感染ARP病毒，可以通过清空ARP缓存、指定ARP对应关系、添加路由信息、使用防病毒软件等方式解决。

地址解析协议是根据IP地址获取物理地址的协议，而反向地址转换协议(RARP)是局域网的物理机器从网关服务器的ARP表或者缓存上根据MAC地址请求IP地址的协议，其功能与地址解析协议相反。与ARP相比，RARP的工作流程也相反。首先是查询主机向网路送出一个RARP Request广播封包，向别的主机查询自己的IP地址。这时候网络上的RARP服务器就会将发送端的IP地址用RARP Reply封包回应给查询者，这样查询主机就获得自己的IP地址了。

地址解析协议工作在一个网段中，而代理ARP(Proxy ARP，也被称作混杂ARP(Promiscuous ARP) [9-10] )工作在不同的网段间，其一般被像路由器这样的设备使用，用来代替处于另一个网段的主机回答本网段主机的ARP请求。例如，主机PC1(192.168.20.66/24)需要向主机PC2(192.168.20.20/24)发送报文，因为主机PC1不知道子网的存在且和目标主机PC2在同一主网络网段，所以主机PC1将发送ARP协议请求广播报文请求192.168.20.20的MAC地址。这时，路由器将识别出报文的目标地址属于另一个子网(注意，路由器的接口IP地址配置的是28位的掩码)，因此向请求主机回复自己的硬件地址(0004.dd9e.cca0)。之后，PC1将发往PC2的数据包都发往MAC地址0004.dd9e.cca0(路由器的接口E0/0)，由路由器将数据包转发到目标主机PC2。(接下来路由器将为PC2做同样的代理发送数据包的工作)。代理ARP协议使得子网化网络拓扑对于主机来说时透明的(或者可以说是路由器以一个不真实的PC2的MAC地址欺骗了源主机PC1)。