【正文】 MAC地址的。在以太網(wǎng)中，一個主機(jī)要和另一個主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。 每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，如下所示。 主機(jī) IP地址 MAC地址 A aaaaaaaaaaaa B bbbbbbbbbbbb C cccccccccccc D dddddddddddd 我們以主機(jī)A（）向主機(jī)B（）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時，主機(jī)A會在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應(yīng)的IP地址，主機(jī)A就會在網(wǎng)絡(luò)上發(fā)送一個廣播，目標(biāo)MAC地址是“”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問：“？”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問，只有主機(jī)B接收到這個幀時，才向主機(jī)A做出這樣的回應(yīng)：“”。這樣，主機(jī)A就知道了主機(jī)B的MAC地址，它就可以向主機(jī)B發(fā)送信息了。同時它還更新了自己的ARP緩存表，下次再向主機(jī)B發(fā)送信息時，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機(jī)制，在一段時間內(nèi)如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。 從上面可以看出，在局域網(wǎng)中，通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的。ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。中了ARP后的一些現(xiàn)象： ⑴能PING通網(wǎng)內(nèi)其它客戶機(jī)，但PING不通路由，上不了網(wǎng)（連接到INTERNET)。 ⑵能PING通網(wǎng)內(nèi)其它客戶機(jī)，同樣PING不通路由，但能上網(wǎng)（能連接到INTERNET）。 ⑶當(dāng)中毒的機(jī)器向網(wǎng)關(guān)路由發(fā)出請求時，網(wǎng)關(guān)路由的ARP緩存還未到刷新時間，網(wǎng)關(guān)路由內(nèi)的ARP緩存表中保存的是客戶機(jī)還未中毒前的MAC地址。而這個MAC地址，與客戶機(jī)當(dāng)前請求的MAC（被病毒修改過）不一致，客戶機(jī)的連接請求被網(wǎng)關(guān)拒絕。即發(fā)生與網(wǎng)關(guān)斷流。 ⑷當(dāng)中毒的源頭機(jī)器向局域網(wǎng)發(fā)出假MAC廣播時，網(wǎng)關(guān)路由也接收到了此消息，并將這些假MAC地址與其IP相對應(yīng)，并建立新的ARP緩存。導(dǎo)致客戶機(jī)與服務(wù)器斷開連接。 2 ARP攻擊的主要方式 （1）簡單的欺騙攻擊 ：這是比較常見的攻擊,通過發(fā)送偽造的ARP包來欺騙路由和目標(biāo)主機(jī),因為路由不會把本網(wǎng)段的包向外轉(zhuǎn)發(fā),當(dāng)然實現(xiàn)不同網(wǎng)段的攻擊也有方法,便要通過ICMP協(xié)議來告訴路由器重新選擇路由. （2）交換環(huán)境的嗅探 ：在最初的小型局域網(wǎng)中我們使用HUB來進(jìn)行互連,這是一種廣播的方式,每個包都會經(jīng)過網(wǎng)內(nèi)的每臺主機(jī),通過使用軟件,可以把自己的主機(jī)偽造成一個中間轉(zhuǎn)發(fā)站來監(jiān)聽兩臺主機(jī)之間的通信. （3）MAC Flooding ：這是一個比較危險的攻擊,可以溢出交換機(jī)的ARP表,使整個網(wǎng)絡(luò)不能正常通信 （4）基于ARP的DOS ：這是新出現(xiàn)的一種攻擊方式,當(dāng)大量的連接請求被發(fā)送到一臺主機(jī)時,由于主機(jī)的處理能力有限,不能為正常用戶提供服務(wù),也不會影響到本機(jī).3 ARP攻擊的防范措施（1）不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上，（rarp同樣存在欺騙的問題），理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。 （2） 設(shè)置靜態(tài)的MACIP對應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。 在網(wǎng)關(guān)路由上對客戶機(jī)使用靜態(tài)MAC綁定。用防火墻封堵常見病毒端口：134139，445，500，6677，5800，5900，593，1025，1026，2745，3127，6129 以及P2P下載。（3） 除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應(yīng)表中。 （4） 使用ARP服務(wù)器。通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP廣播。確保這臺ARP服務(wù)器不被黑。 （5） 使用proxy代理IP的傳輸。 （6） 使用硬件屏蔽主機(jī)。設(shè)置好你的路由，確保IP地址能到達(dá)合法的路徑。（靜態(tài)配置路由ARP條目），注意，使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。 （7） 管理員定期用響應(yīng)的IP包中獲得一個rarp請求，然后檢查ARP響應(yīng)的真實性。 (8） 管理員定期輪詢，檢查主機(jī)上的ARP緩存。 （9）使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包丟失。 （10） 在客戶機(jī)上進(jìn)行網(wǎng)關(guān)IP及其MAC靜態(tài)綁定，并修改導(dǎo)入如下注冊① 禁止ICMP重定向報文 ICMP的重定向報文控制著Windows是否會改變路由表從而響應(yīng)網(wǎng)絡(luò)設(shè)備發(fā)送給它的ICMP重定向消息，這樣雖然方便了用戶，但是有時也會被他人利用來進(jìn)行網(wǎng)絡(luò)攻擊，這對于一個計算機(jī)網(wǎng)絡(luò)管理員來說是一件非常麻煩的事情。通過修改注冊表可禁止響應(yīng)ICMP的重定向報文，從而使網(wǎng)絡(luò)更為安全。 ② 禁止響應(yīng)ICMP路由通告報文 “ICMP路由公告”功能可以使他人的計算機(jī)的網(wǎng)絡(luò)連接異常、數(shù)據(jù)被竊聽、計算機(jī)被用于流量攻擊等，因此建議關(guān)閉響應(yīng)ICMP路由通告報文。網(wǎng)絡(luò)攻擊越來越猖獗，對網(wǎng)絡(luò)安全造成了很大的威脅。對于任何黑客的惡意攻擊，都有辦法來防御，只要了解了他們的攻擊手段，具有豐富的網(wǎng)絡(luò)知識，就可以抵御黑客們的瘋狂攻擊。一些初學(xué)網(wǎng)絡(luò)的朋友也不必?fù)?dān)心，因為目前市場上也已推出許多網(wǎng)絡(luò)安全方案，以及各式防火墻，相信在不久的將來，網(wǎng)絡(luò)一定會是一個安全的信息傳輸媒體。特別需要強(qiáng)調(diào)的是，在任何時候都應(yīng)將網(wǎng)絡(luò)安全教育放在整個安全體系的首位，努力提高所有網(wǎng)絡(luò)用戶的安全意識和基本防范技術(shù)。這對提高整個網(wǎng)絡(luò)的安全性有著十分重要的意義。