tcpdump抓取arp包

tcpdump -nn -i calif24874aae57 -e

arp数据包格式

操作字段指出四种操作类型:arp请求 1arp应答 2rarp请求 3rarp应答 4发送端的ip

arp老化时间-linux默认30s

要想更改这个值，需要通过如下命令:

sudo sysctl -w net.ipv4.neigh.eth0.base_reachable_time=30
或者：
sudo sysctl -w net.ipv4.neigh.eth0.base_reachable_time_ms=30000

arp欺骗(arp表根据发送者ip/mac学习)

正常情况下

• 通过arp request欺骗-刷新对端arp表的网关条目
  

• 通过arp reply欺骗-刷新对端arp表的网关条目
  

invalid arp表象-等待收arp reply

产生原因: 发送arp request后,为接收arp reply做准备
大量存在原因: 通往段扫码(主机),夸网段扫描(网络设备)

代理arp-网关欺骗内部主机的工具

参考: http://www.voidcn.com/article/p-sezcdlec-bpq.html

一般网关nat设备上发生. 这种arp数据包没有特殊格式,和普通arp一样.只是发送者ip/mac做了善意的欺骗

• linux中关闭代理arp

默认eth0是关闭的, 但是calico网络网桥默认是开着的

[root@n1 ~]# cat /proc/sys/net/ipv4/conf/eth0/proxy_arp
0[root@n1 ~]# cat /proc/sys/net/ipv4/conf/cali376fa7941cf/proxy_arp
1

如果主机不配网关会如何.

首先是能够访问外网的
其次arp表里会产生一堆脏数据.

主机访问一个ip-->先查路由表-->如果有匹配,则arp下一跳如果无匹配,直接arp目的ip-->网关收到后代理arp生效.

此时如果主机不配网关:-arp表里会有脏数据

此时如果主机配了网关:

如果关闭arp-主机有网关仍旧可以上网

如果关闭后,则主机不配网关上不了网了.主机配网关仍旧可以上网.
Router(config-if)# no ip proxy-arp

免费arp-用于检测ip是否冲突

1.一般早上上班来抓包可以看到很多,因为同事们都在启动电脑. 网卡重启(接口shut no shu)会发免费arp

2.dhcp获取到地址后会发一个免费arp探测

linux上的arp

参考
ARP缓存表是把双刃剑

a) 主机有了arp缓存表，可以加快ARP的解析速度，减少局域网内广播风暴。因为arp是发广播解析的，频繁的解析也是消耗带宽的，尤其是机器多的时候。

b) 正是有了arp缓存表，给恶意黑客带来了攻击服务器主机的风险，这个就是arp欺骗攻击。

c) 切换路由器，负载均衡器等设备时，可能会导致短时网络中断。因为所有的客户端ARP缓存表没有更新

LVS-DR模式通常会抑制arp

cat >>/etc/sysctl.conf<<EOF
net.ipv4.conf.all.arp_ignore = 1
net.ipv4.conf.all.arp_announce = 2
net.ipv4.conf.lo.arp_ignore = 1
net.ipv4.conf.lo.arp_announce = 2
EOF
sysctl -p