ARP 全称 地址解析协议
实现局域网内IP地址解析成mac地址
mac地址48位主机物理地址,局域网唯一
arp 类似于dns,但不需要配置arp
arp 是工作在第三层的网络层协议
arp 协议要求通信双方必须在同一物理网段(即局域网环境)
arp 一般通过广播形式获取对应IP地址的mac地址,有缓存后会单播发送
ARP 缓存
网卡第一次通过广播获取到IP的mac 后就把信息缓存起来,只要不清除下次再询问mac 时发送的是到缓存中记录的Mac 地址的单播,直接询问的mac ,这就是ARP缓存。
ARP 缓存利与弊
1.加快ARP 解析速度,防止每次都发送广播造成局域网的广播风暴。
2.正是有了缓存,给黑客攻击带来了可乘之机,可以更改缓存使访问IP访问不到造成网络中断
3.切换高可用的路由器/负载等设备时,会造成短时的断网。高可用两个设备主工作,备不工作,主宕机备接管它的vip 但是此时mac 地址变了,客户端还是通过缓存找原来的mac 造成了短时断网。
常用命令
Windows
arp -d 清楚所有缓存arp信息
arp -a 查看所有arp信息
arp -s 绑定ip/mac
Linux
arp 查看所有
arp -d ip 只能清楚指定IP 不能全部清除
arpping -c n 1.1.1.1 询问IP地址的mac 地址,-c 询问次数
arping -U -I eth0 1.1.1.1 询问自己的IP地址的mac ,如果有回复表示IP冲突
arping -I eth0 -c 3 -s 1.1.1.1 1.1.1.2 切换主备后arp 主动寻mac脚本命令
ARP 欺诈解决防范
场景:局域网一台服务器中毒,冒充网关发送广播告诉其他主机他是网关,使得局域网主机通过它来上网造成网络中断。
解决:1、把每个人每台服务器mac地址进行登记,一旦由上述情况通过抓包能知道哪个mac地址在发广播冒充给网关
2、局域网内划分vlan