ARP概述

ARP地址解析協(xié)議是將IP地址解析到正確的MAC地址台猴。ARP表項(xiàng)分為靜態(tài)與動(dòng)態(tài)森渐，動(dòng)態(tài)ARP是利用廣播報(bào)文趾娃，動(dòng)態(tài)執(zhí)行并自動(dòng)進(jìn)行IP地址到以太網(wǎng)MAC地址的解析，無(wú)需管理員手工處理喂很。靜態(tài)ARP是建立IP地址和MAC地址之間固定的映射關(guān)系惜颇，在主機(jī)和路由器不能動(dòng)態(tài)調(diào)整此映射關(guān)系，需網(wǎng)絡(luò)管理員手工添加少辣。

Proxy ARP也就是代理ARP凌摄，當(dāng)ARP請(qǐng)求是從一臺(tái)主機(jī)發(fā)出，用以解析處于同一邏輯三層網(wǎng)絡(luò)卻不在同一物理網(wǎng)段上的另一臺(tái)主機(jī)的硬件地址時(shí)漓帅，連接它們的具有代理ARP功能的設(shè)備就可以應(yīng)答該請(qǐng)求锨亏，使處于不同物理網(wǎng)段的主機(jī)可以正常進(jìn)行通信。

實(shí)驗(yàn)拓?fù)?/b>

實(shí)驗(yàn)概述：

R1作為出口網(wǎng)關(guān)忙干，連接到外網(wǎng)屯伞，公司內(nèi)所有員工使用10.1.0.0/16網(wǎng)段，通過(guò)交換機(jī)連接到路由器上豪直。

網(wǎng)絡(luò)管理員通過(guò)配置靜態(tài)ARP防止ARP欺騙攻擊，保證通信安全珠移，又由于公司內(nèi)所有主機(jī)都沒(méi)有配置網(wǎng)關(guān)弓乙，且分屬于不同廣播域末融，造成無(wú)法正常通信，網(wǎng)絡(luò)管理員需要在路由器上配置ARP代理功能暇韧，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)所有主機(jī)的通信勾习。

實(shí)驗(yàn)配置

同理測(cè)試PC2，也需要測(cè)試PC3與網(wǎng)關(guān)的連通性懈玻。

測(cè)試完后巧婶，直連網(wǎng)絡(luò)連通性正常。

查看AR1上的arp緩存表

配置靜態(tài)ARP

ARP工作行為容易被攻擊者利用涂乌，如攻擊者發(fā)送偽造的ARP報(bào)文艺栈，而且報(bào)文內(nèi)里面所通告的IP地址和MAC地址的映射是錯(cuò)誤的，則主機(jī)或網(wǎng)關(guān)會(huì)把錯(cuò)誤的映射更新到ARP表中湾盒。導(dǎo)致主機(jī)發(fā)送的數(shù)據(jù)幀無(wú)法正確發(fā)送給目標(biāo)MAC湿右。

如果公司內(nèi)主機(jī)感染了ARP病毒，主機(jī)對(duì)網(wǎng)關(guān)R1進(jìn)行ARP攻擊罚勾，向網(wǎng)關(guān)R1通告含錯(cuò)誤映射的ARP通告毅人，導(dǎo)致網(wǎng)關(guān)路由器使用不正確的動(dòng)態(tài)ARP映射條目，造成其它主機(jī)無(wú)法與網(wǎng)關(guān)正常通信尖殃。

模擬ARP攻擊發(fā)生時(shí)丈莺，網(wǎng)絡(luò)的通信受到了影響，在網(wǎng)關(guān)R1上送丰，使用arp static 10.1.1.1 5489-9892-0081命令在路由器上靜態(tài)添加一條關(guān)于PC1的錯(cuò)誤ARP映射缔俄，假定此映射條目通過(guò)一個(gè)ARP攻擊報(bào)文所獲得（靜態(tài)優(yōu)于動(dòng)態(tài)），所以錯(cuò)誤的映射將出現(xiàn)在ARP表項(xiàng)中蚪战。

[Huawei]arp static 10.1.1.1 5489-9892-0081

arp更改后的表項(xiàng)

修改后ping網(wǎng)關(guān)不通牵现，與pc2可互通

從網(wǎng)關(guān)ping主機(jī)1不通

從AR1GE0/0/0接口抓包

如何應(yīng)對(duì)ARP欺騙

應(yīng)對(duì)ARP欺騙攻擊，防止其感染路由器ARP表邀桑，可通過(guò)配置靜態(tài)ARP表項(xiàng)來(lái)實(shí)現(xiàn)瞎疼。

如果IP地址和MAC地址的靜態(tài)映射出現(xiàn)在ARP表中，則通過(guò)動(dòng)態(tài)ARP學(xué)來(lái)的映射無(wú)法進(jìn)入ARP表壁畸。

針對(duì)公司網(wǎng)絡(luò)現(xiàn)狀贼急，網(wǎng)絡(luò)管理員可以在R1上手工配置3條正確的ARP映射，

配置后捏萍，連通恢復(fù)

公司網(wǎng)絡(luò)中ARP攻擊比較常見(jiàn)太抓，防御的辦法就是：在ARP表中手工添加ARP映射，優(yōu)點(diǎn)：操作簡(jiǎn)單令杈，缺點(diǎn)：所有網(wǎng)絡(luò)設(shè)備都有ARP表項(xiàng)走敌，如果全部映射那工作量太大，如果更換IP或者M(jìn)AC后逗噩，還需要手工更新掉丽。（適合小企業(yè)）跌榔，動(dòng)態(tài)ARP協(xié)議維護(hù)ARP表則更簡(jiǎn)便。

配置Proxy ARP

公司網(wǎng)絡(luò)被R1分割為兩個(gè)獨(dú)立的廣播域捶障，每個(gè)路由器對(duì)應(yīng)一個(gè)IP網(wǎng)絡(luò)僧须，分別是10.1.1.0、10.1.2.0

IP路由表

默認(rèn)情況下项炼，ARP代理功能是關(guān)閉的担平，如果不開(kāi)啟ARP代理芍锦，PC1與PC3之間無(wú)法互相通信

PC3上pingPC1

在R1 G0/0/1接口抓包觀察

PC2發(fā)出了ARP廣播琉挖，卻一直沒(méi)有收到ARP響應(yīng)，原因是PC1與PC3分屬兩個(gè)不同的廣播域偶芍，PC3發(fā)出的APR請(qǐng)求無(wú)法跨域中間路由器空免。

啟用R1 G0/0/0接口的ARP代理功能

PC1 ping PC3 空另，看抓包現(xiàn)象

此為R1 網(wǎng)關(guān)的MAC地址

MAC表

PC3想要訪問(wèn)PC所在的廣播域也需要開(kāi)啟代理ARP功能

IP網(wǎng)絡(luò)過(guò)大，廣播對(duì)網(wǎng)絡(luò)的影響也相對(duì)增大蹋砚，在不改變網(wǎng)絡(luò)主機(jī)配置的情況下扼菠，由管理員在網(wǎng)絡(luò)中透明的插入一臺(tái)路由器，靠路由器分割出多個(gè)廣播域坝咐，降低了廣播對(duì)網(wǎng)絡(luò)的影響循榆。

在當(dāng)前的IP網(wǎng)絡(luò)中，此種做法并不多見(jiàn)墨坚，其缺點(diǎn)是主機(jī)間的通信會(huì)因?yàn)橐腩~外的路由器而延遲增大秧饮，并存在瓶頸問(wèn)題，所以一般作為臨時(shí)解決方案泽篮。