arp协议实例（网络工程师必修课之ARP）

arp协议实例（网络工程师必修课之ARP）PC>ping 10.1.14.2542、PC此时可以ping通10.1.14.2541、我们在SW1上配置基本的网关10.1.14.254[SW1]interface Vlanif 1[SW1-Vlanif1]ip address 10.1.14.254 255.255.255.0

一、ARP欺骗

1、我们知道ARP用于IP地址解析成MAC，属于地址解析协议，同时ARP请求为广播行为。网络中经常发生一些不安全隐患

2、攻击主机发送造假的ARP应答，发送局域网中除了被攻击者外其他主机，ARP应答包含被攻击主机的IP和MAC地址信息，攻击主机可以发送假冒的ARP应答信息发给被攻击主机

3、同时如果局域网中ARP病毒，这时向所有目标主机回复ARP应答包含网关的IP和MAC，这样正常主机就会把数据全部发送攻击者到时正常主机数据无法发送正确的网关，而最终主机无法上互联网。

二、MAC地址欺骗

攻击者通过伪造源MAC地址数据发给交换机，导致交换机学习错误的MAC地址和端口映射关系导致交换机发送正常数据被发给攻击者。

三、静态ARP配置

1、我们在SW1上配置基本的网关10.1.14.254

[SW1]interface Vlanif 1

[SW1-Vlanif1]ip address 10.1.14.254 255.255.255.0

2、PC此时可以ping通10.1.14.254

PC>ping 10.1.14.254

Ping 10.1.14.254: 32 data bytes Press Ctrl_C to break

From 10.1.14.254: bytes=32 seq=1 ttl=255 time=15 ms

From 10.1.14.254: bytes=32 seq=2 ttl=255 time=16 ms

如果此时攻击者通过伪造MAC地址，PC2伪造PC1的MAC则可以获取正常发往PC1的数据。

3、MAC地址绑定

配置mac地址绑定即使攻击者攻击伪装MAC也不会对数据产生影响，配置MAC地址绑定会形成静态MAC地址表项

[SW1]mac-address static 5489-9875-6C5A GigabitEthernet 0/0/1 vlan 1//mac地址绑定

[SW1]arp static 10.1.14.1 5489-9875-6c5a//配置静态ARP绑定

查看MAC地址表：

查看ARP表项：

模拟攻击者：

我们把PC2的MAC地址改成和PC1一样

PC1可以正常与网关通信，通过ARP -a可以查看到IP地址与MAC对应关系

此时PC2 即使伪造和PC1一样的MAC也无法正常与网关通信

扩展：缺省情况下接口学习MAC地址数量由交换机规格性能决定的，为了防止有攻击导致接口学习MAC地址表资源耗尽，占用带宽及影响网络性能，我们可以通过配置命令限制接口学到最大的MAC地址数量

[SW1-GigabitEthernet0/0/1]mac-limit maximum 10 alarm enable //限制接口可以最大学10个MAC地址

欢迎关注转发学网络的小伙伴们，希望对大家有所帮助，更多干货分享下期继续分享，0基础小白系统完整学网络、0基础转行、就业、考证、完整网络工程师就业实战课程、华为认证优惠报名及考试真题教程资料均可以私信沟通哦O(∩_∩)O