ARP

产生的情况？ 二层互访会出现ARP请求和应答报文。

详细过程。 当同网段A访问B时，A先查ARP表， A有B的表项则直接ARP表中的MAC对报文二层封装，将报文交给B。 A没有B的表项，先缓存报文， 广播发ARP请求，报文源IP、MAC为发送主机的，目标IP为目标主机的IP，目标MAC全为FF B收到报文后，将请求的IP和自己的IP比较，相同，则将报文都源IP、MAC放到自身ARP表中， 单播ARP应答给A，应答报文中标识B的MAC A是先查ARP表，判断表项做不同的处理行为。 B是先判断请求都是否是自己的IP，是自己就“加表项”和做“应答”

通过ARP报文自动生成和维护，可以被老化，可以被新的ARP报文更新，可以被静态ARP表项覆盖。当到达老化时间、接口Down时会删除相应的动态ARP表项。

产生的情况？ 管理员手工将IP地址和MAC地址做映射关系。 有什么特点？ 静态ARP表项不会被老化，不会被动态ARP表项覆盖。 什么需要静态ARP表项? 因为动态ARP会被老化和更新、当有ARP攻击时，造成通信异常。 静态ARP不会被覆盖和老化，安全性高。 怎么部署？ 一般部署在网关上配置。

①IP地址冲突检测 例如在设备接口上配置IP，接口协议状态UP时，设备主动发免费ARP ②通告一个新的MAC地址。 更换了网卡，MAC地址变化了会发免费ARP，让设备老化之前的表项 ③VRRP备份组主备切换。 新master 广播发免费arp，通知主备切换，引导用户流量。

①ARP泛洪攻击。 设备处理ARP报文和维护ARP表项消耗系统资源，因此ARP表项规模有限制的。 攻击者通过伪造大量源IP变化都ARP报文，耗尽ARP表资源。造成无法对合法用户生成ARP条目，通信中断 攻击者通过扫描工具，发大量不能解析的目标IP，让设备触发ARP Miss消息，造成设备CPU负载过重。

②ARP欺骗

ARP泛洪攻击解决方案 ①ARP 报文限速，避免处理大量ARP报文 ②ARP Miss 消息限速，防止触发 ARP Miss 消息 ③ARP 表项严格学习 设备主动发arp请求报文的应答报文才会触发ARP学习。 ④ARP 表项限制 对设备接口设置最大动态ARP表项条目

ARP欺骗攻击解决方案 ①ARP表项固化，设备首次学习ARP后，不允许用户更新该ARP表项或只能更新部分。 ②发送免费 ARP 报文，网关主动发 ③ARP 报文内 MAC地址一致性检查 ④ARP 报文合法性检查 ⑤ARP 表项严格学习