ARP表

? ? ? ?網絡設備存儲IP-MAC映射關系的表項，便于快速查找和轉發數據包

ARP協議工作原理

????????ARP（Address Resolution Protocol），地址解析協議，能夠將網絡層的IP地址解析為數據鏈路層的MAC地址。

? ? ? ? 1.主機在自己的ARP緩沖區中建立一個ARP表(IP MAC 類型)，表示IP和MAC對應關系

? ? ? ? 2.主機加入網絡時（MAC地址變化、接口重啟等），會發送免費ARP報文把自己IP地址與MAC地址映射關系廣播給網絡內的其他主機

? ? ? ? 3.網絡中的主機收到免費ARP報文時，會將新的映射關系更新到自己的ARP表中

? ? ? ? 4.當主機需要發送報文時（二層/三層），需要檢查ARP表中是否有對應IP的ARP表項，如果有則直接發送數據包，如果沒有就向網段內主機/默認網關發送ARP請求報文

? ? ? ? 5.網絡內主機收到ARP數據包時，若請求IP不為自身IP則忽略對應的數據包，否則將ARP請求報文中的IP和MAC更新到自己的ARP表中，向源主機發送ARP應答報文

? ? ? ? 6.源主機收到ARP應答報文后將其中的源IP和源MAC更新到自己的ARP表中

?動態ARP-拓撲結構復雜

? ? ? ? 動態ARP是由設備通過ARP學習自動生成和維護的IP-MAC映射關系，可以被老化和自動更新，也可以被靜態ARP覆蓋，適用于拓撲結構復雜的網絡。

靜態ARP-安全性較高（網關）

? ? ? ? 靜態ARP由網絡管理員手動配置和維護的IP-MAC映射關系，不會被老化機制刪除，更加穩定，可以通過將網關設備進行靜態ARP綁定，防止ARP欺騙攻擊

ARP老化-減少內存占用

? ? ? ? ARP老化-將在一定時間（默認1200S）內未使用的動態ARP表項進行刪除，維護ARP表項的準確性，減少內存占用

ARP欺騙-偽造ARP報文篡改目標設備ARP緩存表

? ? ? ? 攻擊者發送偽造的ARP報文篡改目標設備的ARP緩存表，導致數據包被發送到攻擊者設備，攻擊者可通過對數據包進行回傳或丟棄，達到監聽網絡信息或中斷通信的目的。

ARP報文格式? ? ? ??

免費ARP請求報文格式：（源IP、源MAC、目的IP為主機自身，DMAC廣播）

Ethernet II, Src:  00:1b:17:00:01:1a, Dst: Broadcast (ff:ff:ff:ff:ff:ff) Sender MAC address: 00:1b:17:00:01:1a
Sender IP address:  172.30.129.254
Target MAC address: 00:00:00_00:00:00 
Target IP address:  172.30.129.254

ARP請求報文格式 ：（源IP、源MAC為自身，DIP為目的IP，DMAC廣播）

Ethernet II, Src: 00:1b:17:00:01:1a,
?????????????Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Sender MAC address: 00:1b:17:00:01:1a

Sender IP address: 172.30.129.254

Target MAC address: 00:00:00_00:00:00
Target IP address:??Target IP address

ARP應答報文格式 ：（源IP、源MAC為自身，DIP與DMAC為ARP請求報文發送者）

Ethernet II, Src: 00:1b:17:00:01:1a,
? ? ? ? ? ? ? ? ? ?Dst: 00:1b:17:00:01:1b
Sender MAC address: 00:1b:17:00:01:1a

Sender IP address: 172.30.129.254

Target MAC address: 00:1b:17:00:01:1b
Target IP address:??172.30.129.111

MAC表

? ? ? ? MAC表是交換機內部用于存儲已知MAC地址及其對應端口的表格。這個表對于交換機來說是至關重要的，因為它決定了數據幀應該從哪個端口轉發出去。MAC表中包含的信息通常包括MAC地址、VLAN、出接口、表項類型和老化時間等

MAC學習-實現數據幀轉發基礎

????????交換機在接收到數據幀時，會檢查幀的源MAC地址，并將這個地址與其接收幀的端口關聯起來，添加到MAC地址表中。

動態MAC

? ? ? ? 動態MAC是通過交換機學習得到的，在經過一定時間（默認300S）內如果未學習到對應地址，則會被老化機制（內存空間有限）刪除，動態MAC可以被靜態MAC地址覆蓋

靜態MAC

? ? ? ? 由網絡管理員手動配置的MAC地址，不會被老化機制刪除，比動態MAC更加穩定