arp

ARP （Address Resolution Protocol）地址解析协议，是根据IP地址获取物理地址的一个TCP/IP协议。 当在同一网络段内或同一子网内，主机发送信息时将包含目标IP地址的ARP请求广播发送到网络上的所有主机，并接收返回消息，以确定目标主机的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。 ARP提供的功能 是32bit的IP地址与48bit的MAC接口地址之间的动态映射。 ARP工作过程 　　 　　主机A的IP地址为172.16.1.1，MAC地址为78-51-7b-21-0f-05；主机B的IP地址为172.16.1.2，MAC地址为78-51-84-11-10-05。 　　当主机A要与主机B通信时，ARP地址解析协议将主机B的IP地址172.16.1.2解析成主机B的MAC地址，以下为工作流程： 　　1、根据主机A上的路由表，确定访问主机B的转发接口地址。A主机在本机ARP缓存中查询主机B IP地址对应的MAC地址。 　　2、如果主机A在ARP缓存中没有找到映射，它将询问172.16.1.2对应的MAC地址，并将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包含在ARP请求帧中。本地网络上的每台主机都会收到ARP请求并检查是否与自己的IP地址匹配

一、介绍 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在同一以太网中，通过地址解析协议，源主机可以通过目的主机的IP地址获得目的主机的MAC地址。arping程序就是完成上述过程的程序。 arping，用来向局域网内的其它主机发送ARP请求的指令，它可以用来测试局域网内的某个IP是否已被使用。 二、指令格式如下： arping [-AbDfhqUV] [-c count] [-w deadline] [-s source] -I interface destination 三、参数释意： -A：与-U参数类似，但是使用的是ARP REPLY包而非ARP REQUEST包。 -b：发送以太网广播帧，arping在开始时使用广播地址，在收到回复后使用unicast单播地址。 -c：发送指定的count个ARP REQUEST包后停止。如果指定了-w参数，则会等待相同数量的ARP REPLY包，直到超时为止。 -D：重复地址探测模式，用来检测有没有IP地址冲突，如果没有IP冲突则返回0。 -f：收到第一个响应包后退出。 -h：显示帮助页。 -I：用来发送ARP REQUEST包的网络设备的名称。 -q：quite模式，不显示输出。 -U：无理由的（强制的）ARP模式去更新别的主机上的ARP CACHE列表中的本机的信息，不需要响应。 -V

一：MAC地址表详解 说到MAC地址表，就不得不说一下交换机的工作原理了，因为交换机是根据MAC地址表转发数据帧的。在交换机中有一张记录着局域网主机MAC地址与交换机接口的对应关系的表，交换机就是根据这张表负责将数据帧传输到指定的主机上的。 交换机的工作原理 交换机在接收到数据帧以后，首先、会记录数据帧中的源MAC地址和对应的接口到MAC表中，接着、会检查自己的MAC表中是否有数据帧中目标MAC地址的信息，如果有则会根据MAC表中记录的对应接口将数据帧发送出去(也就是单播)，如果没有，则会将该数据帧从非接受接口发送出去(也就是广播)。 如下图：详细讲解交换机传输数据帧的过程 1)主机A会将一个源MAC地址为自己，目标MAC地址为主机B的数据帧发送给交换机。 2)交换机收到此数据帧后，首先将数据帧中的源MAC地址和对应的接口(接口为f 0/1) 记录到MAC地址表中。 3)然后交换机会检查自己的MAC地址表中是否有数据帧中的目标MAC地址的信息，如果有，则从MAC地址表中记录的接口发送出去，如果没有，则会将此数据帧从非接收接口的所有接口发送出去(也就是除了f 0/1接口)。 4)这时，局域网的所有主机都会收到此数据帧，但是只有主机B收到此数据帧时会响应这个广播，并回应一个数据帧，此数据帧中包括主机B的MAC地址。 5)当交换机收到主机B回应的数据帧后，也会记录数据帧中的源MAC地址

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的,如: 我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP

一、代理ARP概述 我： 当电脑要访问互联网上的服务器，目标MAC是什么？ 很多小伙伴在刚学习网络协议的时候，经常这样直接回应： 不就是服务器的MAC嘛! 这时我会反问： 那电脑怎么拿到这个服务器的MAC地址呢？ 小伙伴一般都自信的抛出下面两个点： ①根据网络通信中数据封装的原则，通信双方需要封装源目IP和MAC地址； ②如果要拿到目标MAC地址，就需要通过ARP协议进行交互。 我：好，确实没毛病，你是指的下面这个意思吧 ==> 小伙伴：对对对，是这个意思的。 我：好，你再看看下面这个图，再确认下。 小伙伴：好像不太对唉，刚才没注意看...... 互联网这么多路由器，根据之前学过的： ①路由器隔离广播域，每个接口/网段都是独立的广播域； ②ARP请求是二层广播包，广播包没法过路由器， 这样的话，ARP请求广播包根本没法穿越互联网到达目标服务器。 我：那我们平常上微博逛知乎去京东剁手基本都依据上面这张图， 通过DNS协议将域名解析为IP地址，通过ARP协议将IP解析为MAC地址 。现在ARP请求无法穿越过去，电脑便无法获取目标服务器的MAC地址，怎么跟它通信呢？ 小伙伴： 。。。。。。 上面这个疑惑，我相信每个学习网络协议的初学者经常会问到，更普遍的情况是，很多工作多年的工程师，也未必能够将下面这几个问题完全搞清楚： ①电脑访问互联网服务器的时候，ARP询问的内容，真的是问服务器的吗

实现四种效果 转发异网帧 丢弃同网帧 学习源地址 广播未知帧 拓扑如上，配置主机端口IP与网关 路由ARP为空 广播未知帧&学习源地址&转发异网帧 如图所示通信，打开ARP报文，在路由器arp表尚未记录时，arp的目标mac就是全0，未知及广播。 观察以太帧也可以发现，目标(dest)mac帧也为全F，即为广播。 而且，目标IP地址为网关地址——及路由器端口地址 发到该交换机后可以看到进行广播 达到路由后发出的ARP将自己的端口地址换成源mac，目标mac换成发送主机（192.168.0.1）并更新ARP表 然后重新准备ARP 源mac,ip改为该路由器的端口mac,ip，由于ARP表中无目标mac信息，故仍然位置广播（同理挂差dest mac为全F）。 仍然广播未知帧 而后主页也发送ARP给路由器，并更新ARP表 丢弃同网帧 这个是交换机独有的特性，同网指得是一个网段 网段（network segment）一般指一个计算机网络中使用同一物理层设备（传输介质，中继器，集线器等）能够直接通讯的那一部分。 包中ICMseq=43表示超时丢弃。 来源： CSDN 作者： 眯眯眼:） 链接： https://blog.csdn.net/qq_43430273/article/details/103568644

1.负载均衡 VS 反向代理区别 1.1 功能(原理) 负载均衡 lvs 请求做转发 反向代理 Nginx Haproxy 代替(代理）用户去请求 ,得到响应再反回给用户 1.2 4层与7层 7层协议 应用层 协议： http https 表示层 会话层 传输层 tcp/udp 端口 网络层 IP地址 数据链路层**** MAC地址 物理层 010101001 比特 物理层，数据链路层，网络层，传输层的单位: 比特bit，帧frame，包packet，段segment 4层 LVS nginx(1.9版本支持） haproxy 7层 nginx haproxy 2.ARP协议 2.1 arp解析过程 https://www.cnblogs.com/csguo/p/7542944.html DNS 域名----->ip地址 域名解析服务/系统 ARP ip------->MAC地址 地址解析协议 （Address Resolution Protocol） 2.2 arp解析原理 发出 广播 消息 查询ip对应的mac地址 对应的机器会用 单播 的方式把自己的mac告诉对方 用户自己留1个arp缓存 每个主机都会在自己的 ARP 缓冲区中建立一个 ARP 列表，以表示 IP 地址和 MAC 地址之间的对应关系。 主机（网络接口） 新加入网络时 （也可能只是mac地址发生变化，接口重启等

中国人民公安大学 Chinese people ’ public security university 网络对抗技术 实验报告 实验二 网络嗅探与欺骗 学生姓名 张振标 年级 2017级 区队 五区队 指导教师 高见 信息技术与网络安全 学院 201 6 年 11 月 7 日 实验任务总纲 20 1 6 —20 1 7 学年 第 一 学期 一、实验目的 1．加深并消化本课程授课内容，复习所学过的互联网搜索技巧、方法和技术； 2．了解并熟悉常用的网络嗅探方式，掌握常用抓包软件的使用方法和过滤技巧，能够对给定的数据包分析网络基本行为；掌握ARP欺骗的基本原理，以及基于ARP欺骗的DNS攻击方式； 3．达到巩固课程知识和实际应用的目的。 二、实验要求 1．认真阅读每个实验内容，需要截图的题目，需清晰截图并对截图进行标注和说明。 2．文档要求结构清晰，图文表达准确，标注规范。推理内容客观、合理、逻辑性强。 3．软件工具可使用office2003或2007、CAIN、Wireshark等。 4．实验结束后，保留电子文档。 三 、实验步骤 1．准备 提前做好实验准备，实验前应把详细了解实验目的、实验要求和实验内容，熟悉并准备好实验用的软件工具，按照实验内容和要求提前做好实验内容的准备。 2．实验环境 描述实验所使用的硬件和软件环境（包括各种软件工具）；

Detecting suspicious activities using Wireshark You can use make the MAC address of the router to static on the ARP table to prevent ARP attack. But it is not effective and useful for big companys . Start the attacks from the Kali Linux. Analyze the packages from expert information. 来源： https://www.cnblogs.com/keepmoving1113/p/12044488.html