arp协议属于哪一层_ARP的攻击与防御

一、ARP攻击欺骗

1、ARP单项欺骗（断网打击）

攻击方可以不停的发送一个伪装报文，不停的让被攻击方学习一个或多个条目：网关IP或通信目标IP对应一个虚假的不存在的MAC地址的条目。

这样一来报文在封装成帧时，会在帧头填写一个错误的MAC地址，导致帧无法送达。

缺点：不会对攻击方带来实质好处；需要不停发送报文。

2、ARP双向欺骗（窃密）

攻击方将自己MAC地址与其他人的IP封装成虚假的ARP报文，使被攻击方不停学习伪装条目，当被攻击方与伪装目标通信时，数据会送达攻击方，攻击方再将数据转发给伪装目标，即可实现双方正常通信情况下窃取通信数据。

缺点：由于使用了一个真实的MAC，且在被攻击方的ARP缓存中会生成“不同IP-相同MAC”的条目，极其容易被物理制止；需要不停发送报文。

遭受ARP攻击并非完全没有感觉，会出现网速变慢、丢包率略微升高的现象。

由于ARP协议的特性，所以攻击方一定位于局域网内部，可以及时进行物理打击。

二、如何防御ARP攻击

1、ARP静态绑定

ü PC端命令

ü cisco路由器命令

缺点：贼麻烦！工作量太大！建议用在公司的的主要服务器上！

2、安装ARP防火墙

缺点：会增加网络负担！成功率并不是100%！除非已经遭受了ARP攻击，开启，否则关闭！

3、交换机上启用DAI技术

ü DAI技术

目前在企业级的交换机都有支持！可以将ARP攻击消灭在源头！

ü D

D，即DHCP。当客户机自动获取IP地址时，交换机上由于开启了D服务，ACK报文发送至客户机时，端口记录了客户机PC1的IP地址及对应MAC地址，即生成DHCP记录表。如其IP为192.168.1.4，MAC地址为00-05-vd-3d-3e-2c。

ü AI

AI，即ARP检测侦察技术，依赖于DHCP记录表。当客户机PC1欲发送虚假ARP报文时，如：192.168.1.254 ；00-05-vd-3d-3e-2c。此时，到达交换机端口处核查发现信息有误，自动丢弃。

4、ARP协议属于内网协议

ARP协议只能存在与内网（局域网），只要被ARP攻击了，嫌疑人一定在内网。