ARP(地址解析协议)是局域网通信的基础,负责将 IP 地址解析为 MAC 地址。理解 ARP 工作原理对于网络故障排查和安全防护非常重要。
ARP 工作流程
当设备需要与同一子网内的另一设备通信时,它知道目标 IP 但不知道 MAC 地址。设备广播 ARP 请求:“谁的 IP 是 X.X.X.X?”,拥有该 IP 的设备回复 ARP 响应:“我是 X.X.X.X,我的 MAC 是 XX:XX:XX:XX:XX:XX”。请求方缓存这个映射关系以备后续使用。
ARP 缓存
操作系统维护 ARP 缓存表,存储 IP-MAC 映射,避免每次都广播查询。缓存条目有生存时间(TTL),过期后需要重新解析。使用 arp -a(Windows)或 ip neigh(Linux)查看 ARP 缓存。
ARP 欺骗攻击
攻击者发送伪造的 ARP 响应,声称自己是网关或其他设备,从而截获流量。这种中间人攻击可以窃取密码、会话 cookie 等敏感信息。防护措施包括:启用 DHCP Snooping、配置静态 ARP 条目、使用 ARP 监控工具检测异常。
gratuitous ARP
设备主动广播自己的 IP-MAC 映射,用于更新其他设备的 ARP 缓存。常用于 IP 地址冲突检测和高可用切换场景。使用IP Query虽然不能直接查看 ARP 表,但可以验证网络连通性和 IP 分配情况。
继续阅读其他精彩文章
浏览全部博客