第7章 网络层协议（3）_ARP协议

3. ARP协议

3.1 ARP（Address Resolution Protocol）协议的工作过程和安全隐患

（1）计算机A和C通信之前，先检查ARP缓存中是否有计算机C的IP地址对应的MAC地址。如果没有，就启用ARP协议发送一个ARP广播请求解析192.168.0.4的MAC地址。ARP广播帧目标MAC地址是FF-FF-FF-FF-FF-FF。

（2）交换机将ARP广播帧转发到同一个网络的全部端口。这意味着同一个网段中的计算机都能够接到该ARP请求。

（3）正常情况下，只有计算机C收到该ARP请求后发送ARP应答消息。还有不正常情况，网络中任何一台计算机都可以发送ARP应答，有可能告诉计算机A一个错误的MAC地址（ARP欺骗）

（4）计算机A将解析到的结果保存在ARP缓存中（可通过arp -a命令查看），并保留一段时间，后续通信就使用缓存的结果，就不再发送ARP请求解析MAC地址。

3.2 ARP欺骗之“网络执法官”

（1）“网络执法官”局域网管理辅助软件

　　可以通过周期性地解析本网段IP地址和MAC地址来统计哪些计算机在线和下线，它能够利用ARP欺骗来禁止与“关键主机”的通信或禁止与网络中所有计算机通信，并指定哪些地址是“关键主机”。

（2）“网络执法官”测试：禁止局域网内的某台计算机访问Internet

　　①选择“监控范围”（如192，168.80.1-192.168.80.254）并添加。这时软件会发送ARP请求给这个范围的每一个地址，通过统计收到的ARP响应，来发现网段有多少计算机在线。

　　②设置“关键主机”：“设置”菜单→“关键主机”→指定IP并添加。这里可以指定网关地址。

　　③限制计算机A与关键主机（D）通信：选中计算机A→右键“设定权限”→选择“发现该用户与网络连接即进行管理” →并选择“禁止与关键主机的TCP/IP连接”。如此，该计算机就不能与网关通信，即不能访问Internet。可以通过arp –a 命令查看到，该计算机A解析到网关的mac地址是一个错误的地址。

3.3 判断和防止ARP欺骗的方法

（1）故障现象：计算机不能和同一网段的某个计算机通信，但和其他计算机通信正常。如果不是双方防火墙设置引起，就很可能是ARP欺骗引起的网络故障。

（2）原因分析：如前面计算机A不能ping通网关，在排除了防火墙设置导致后，可以通过arp –a查看缓存的mac地址表中网关地址是否正确。如果不一致，就是ARP欺骗造成的网络故障了。

（3）解决方案：为计算机A添加MAC地址静态映射

　　①arp -s 192.168.80.2 00-50-56-FD-90-E2 (网关IP和mac地址)。

　　②由于A和网关通信不再需要ARP协议来解析对方的MAC地址，“网络执行官”就不能通过ARP执行欺骗，网络就会通。

　　③说明：删除映射arp -d 192.168.80.2

3.4 扩展思考

（1）计算机A和B能否互通？

　　①A和B连接在同一交换机上。但所处网段不同。

　　②A和B互设对方为自己的网关（否则是不通。注意，这与第5章的5.2节案例是不同的！）

（2）互通的原因

　　①当计算机A ping 计算机B时，由于IP不在同一网段。尽管连接在同一交换机，但仍需要网关来转发。因此A就发送ARP请求（广播）网关B的MAC地址。由于同一交换机，这个广播会被转发到交换机的各个接口上，因此B会收到这个请回，如此A就能解释出B的MAC地址。因此A能ping通B。

　　②同理，B也能ping通A。