含义

ARP（地址解析协议）是一种用于确定对应IP地址的MAC地址（硬件地址）的网络协议。

当局域网（LAN）中的一个设备想要与另一个设备通信时，必须知道目的地的MAC地址。

由于用户和应用程序都处理 IP 地址，ARP 充当翻译器，将 IP 地址转换为 MAC 地址。

因为IP和MAC地址的长度不同，需要进行转换以便系统相互识别。目前最常用的IP是IP版本4（IPv4）。IP地址长度为32位。而MAC地址长度为48位。ARP将32位地址转换为48位，反之亦然

映射：用于将不断变化的互联网协议（IP）地址连接到局域网（LAN）中的固定物理机器地址

MAC地址：也称为数据链路层，负责建立和终止两个物理连接设备之间的连接，以便数据传输得以进行

IP地址：也被称为网络层，或负责通过不同路由器转发数据包的层。

ARP在这些层之间工作

ARP在网络层（第3层）工作，但与数据链路层（第2层）紧密交互

ARP术语：

ARP缓存：用于存储已解析MAC地址以便快速使用

ARP缓存超时：分为静态和动态，动态缓存是有时间的，要在有效时间内

ARP请求：一条广播消息，问“谁拥有这个IP地址？”

ARP回复/响应：包含请求IP的MAC地址的单播消息。

ARP的类型

ARP主要有四种类型，每种类型在不同场景下使用：

1. 代理ARP

允许代理设备（如路由器）代表另一设备响应ARP请求。

它适合隐藏网络复杂性或连接不同子网。

2. 无端防空警报

主机发送ARP请求以获取自己的IP地址。

用于检测重复IP地址并更新其他设备上的ARP表。

3. 反向ARP（RARP）

设备在只知道MAC地址时，用来发现自己的IP地址。

示例：无盘计算机在启动时向服务器请求其 IP。

4. 反ARP（InARP）

与ARP相反——用于从已知MAC地址中发现IP地址。

在帧中继和ATM网络等技术中很常见。

ARP如何工作

发送方检查ARP缓存：如果目的IP的MAC地址已被缓存，通信立即开始。

ARP 请求广播：如果没有缓存，发送方会在局域网上广播 ARP 请求。

所有设备都接收请求：每个设备检查请求的IP是否与其自身匹配。

目的回复：拥有匹配IP的设备发送包含其MAC地址的ARP回复（单播）。

缓存更新：发送方会用新的MAC地址更新其ARP缓存以备将来使用。

ARP消息格式

ARP消息由多个字段组成：

硬件类型（2字节）：定义硬件（以太网=1）。

协议类型（2字节）：定义协议（IPv4 = 0x0800）。

硬件地址长度（1字节）：MAC地址长度（以太网为6字节）。

协议地址长度（1字节）：IP地址长度（IPv4为4字节）。

作代码（2字节）：1表示请求，2表示回复。

发送方硬件地址：发送方的MAC地址。

发送方协议地址：发送方的IP。

目标硬件地址：请求为空;接收方MAC地址为回复。

目标协议地址：接收方的IP。

在网络通信中使用ARP的优缺点

ARP在提升网络性能方面的优势

自动映射：无需手动配置即可解析MAC地址。

效率：确保局域网内的顺畅通信。

透明度：无需用户干预即可在后台运行。

灵活性：支持不同类型（代理、免费、反向、反向）以满足多样化的网络需求。

使用ARP相关的挑战

易受ARP伪装攻击影响： ARP容易遭受ARP欺骗等攻击，因为它在没有内置认证的情况下运行在低层次。恶意行为者可以冒充合法设备来拦截或篡改数据流量。

产生过多的广播流量： ARP依赖广播消息来解析MAC地址。这会在大型环境中使网络过载，导致不必要的网络拥塞和性能下降。

缺乏认证机制： ARP的一个核心局限是缺乏验证功能。这使得认证设备身份变得困难，并使网络暴露于伪装和中间人攻击的风险。

有限的内置安全控制： ARP提供最基本的安全功能。这反映出它无法检测或防止恶意行为，对整体网络完整性构成风险。

未授权访问的脆弱性： 如果没有适当的设备验证，ARP容易受到安全漏洞的影响。这使得未经授权或不受信任的设备能够响应真实请求，并获得敏感网络通信的未授权访问权限。

ARP欺骗的危险：攻击与安全风险

ARP欺骗也称为ARP毒化路由或ARP缓存中毒。这是一种恶意攻击，网络犯罪分子向目标局域网发送虚假的ARP消息，目的是将其MAC地址与网络内合法设备或服务器的IP地址关联。该链接允许受害者电脑的数据被发送到攻击者的电脑，而非原始目的地。

ARP欺骗攻击可能存在危险，因为敏感信息可以在受害者不知情的情况下在计算机之间传递。ARP欺骗还能促成其他形式的网络攻击，包括以下内容：

中间人攻击（MTM）

中间人攻击（MITM）是一种窃听方式，攻击者通过截取、转发并篡改双方之间的信息——而双方根本不知道有第三方参与——以窃取信息。攻击者可能试图控制和控一方或双方的消息，以获取敏感信息。由于这类攻击使用复杂软件模拟对话的风格和语气——包括基于文本和语音的对话——中间人攻击难以拦截和挫败。

中间人攻击发生在恶意软件被传播并控制受害者的浏览器时。浏览器本身对攻击者来说并不重要，但受害者分享的数据非常重要，因为这些数据可能包括用户名、密码、账户号码以及在聊天和在线讨论中分享的其他敏感信息。

一旦控制权，攻击者会在受害者与合法网站之间创建一个代理，通常使用假冒的相似网站，以拦截受害者与合法网站之间的任何数据。攻击者通过在线银行和电子商务网站来获取个人信息和金融数据。

拒绝服务攻击

拒绝服务（DoS）攻击是指网络攻击者试图用流量压倒系统、服务器和网络，以阻止用户访问这些攻击。更大规模的拒绝服务攻击被称为分布式拒绝服务（DDoS）攻击，利用更多源头向系统发送流量。

这类攻击利用网络协议中的已知漏洞。当大量数据包传输到易受攻击的网络时，服务很容易被淹没，最终无法使用。

会话劫持

会话劫持发生在网络攻击者窃取用户会话ID，接管该用户的网页会话，并冒充该用户时发生的。拥有会话ID后，攻击者可以在该网络上执行用户被授权执行的任何任务或活动。

认证发生在用户尝试访问系统或登录受限网站或网络服务时。会话ID存储在浏览器中的Cookie中，进行会话劫持的攻击者会拦截认证过程并实时入侵。

防防ARP攻击的最佳实践

在高安全区实现静态ARP条目：

定义静态ARP条目确保固定的IP到MAC地址映射。这样可以消除被伪造的回复。虽然无法跨大型网络扩展，但在高度敏感或受限的细分段中，这是一种有用的方法。组织可以隔离这些区域并手动维护，以保护关键系统或数据流。

启用交换机动态ARP检测（DAI）：

动态ARP检测（DAI）是一种交换机级安全功能，用于过滤无效或可疑的ARP数据包。它通过可信的DHCP信息或静态绑定验证ARP响应，并防止恶意行为者注入伪造的映射。此外，DAI包含速率限制功能，用于防御基于ARP的DoS攻击，最好与DHCP监听同时部署。

配置端口安全以控制MAC地址：

托管交换机的端口安全限制了每个端口允许的MAC地址数量。将每个端口限制为已知或单个MAC地址，可以降低攻击的可能性。这种做法使攻击者难以冒充多个设备或发动伪造攻击。这对于面向用户的接入层交换机尤其有用。

执行物理和无线门禁控制：

限制对组织网络基础设施的物理访问可以降低内部ARP欺骗的风险。由于ARP流量局限于本地子网，攻击者需要与网络保持物理或无线距离。像802.1X认证这样的技术可以确保只有受信任的设备能够连接。这有助于减少内部威胁。

使用加密和VPN保护传输中的数据：

虽然ARP欺骗仍然可能发生，但使用SSL/TLS等加密协议可以确保截获的流量无法读取。此外，建立VPN隧道还可以通过保护通信来保护数据。这限制了捕获流量的价值，即使黑客发动中间人攻击。