1. ARP: address resolution protocol. ARP為IP位址和對應的MAC位址提供動态映射。(MAC,media access control,也稱作硬體位址)
2. 發送端主機發送一份ARP請求的以太網資料幀給以太網上的每個主機。ARP請求資料幀中包含目的主機的IP位址,其意思是“如果你是這個IP位址的擁有者,請回答你的硬體位址”。目的主機的ARP層收到這份廣播封包後,識别出這是發送端在詢問它的IP位址,于是發送一份ARP應答。這個ARP應答包含IP位址及對應的硬體位址。收到ARP應答之後,使ARP進行請求-應答交換的IP資料報就可以傳送了。
3. 每個主機上都有一個ARP高速緩存。這個緩存存放了最近IP位址到MAC位址的映射記錄。每一項記錄的生存時間一般為20分鐘。
4. ARP攻擊:感染ARP木馬的系統通過僞造IP位址和MAC位址進行欺騙,在區域網路中産生大量的ARP通信量,導緻網絡阻塞。
5. ARP攻擊檢測方法:在ARP資料包中,以太網首部和ARP分組中都包含了本機的MAC位址,正常資料包中二者應該一緻。如果發現一個ARP應答包中兩者不一緻,就可以認定這是一個ARP攻擊包。
參考文獻
1. TCP-IP協定詳解
![linux 端的區域網路 ettercap 抓包實驗[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)