什么是ARP，ARP协议的作用是什么？

ARP：地址解析协议 / 将一个已知的ip地址解析成MAC地址

广播与广播域：

广播：将广播地址作为目的地址的数据帧

广播域：网络中能接收到同一个广播所有节点的集合

MAC地址广播：

广播地址为：FF-FF-FF-FF-FF-FF

IP地址广播：

1，255.255.255.255

2，广播IP地址为IP地址网段的广播地址，如192.168.1.255/24

ARP解析MAC地址过程：ARP单独发送一段ARP报文广播，里面说明了我的ip是多少，我的MAC地址是多少，我要寻找ip地址为xxx.xxx.xxx.xxx的MAC地址，然后发送给链路层封装帧头帧尾，通过交换机所有端口转发广播，广播MAC地址为FF-FF-FF-FF-FF-FF表示广播给当前网络下所有的MAC地址，直到有人回应，我是广播里面要找的那个ip，再回应给源ARP。(发送的广播称之为：广播请求。回应广播称之为：回应单播)

ARP解析MAC地址过程专业术语：

1，pc1发送数据给pc2，查看ARP缓存有没有pc2的MAC地址，

2，pc1发送ARP请求广播消息

3，局域网下所有的主机收到ARP请求广播消息pc2回复ARP应当(单播)        // 回应消息回到pc1主机上面之后，采用的是谁的消息最后到，就采用谁的消息，其它主机丢弃广播消息。

4，pc1将pc2的MAC地址保存到缓存中，发送数据。

APR缓存：每次电脑与另外一台电脑进行通信之后，为了不再重复性的广播ARP都会生成一个ARP缓存。

查看本地电脑的ARP缓存：cmd/ ARP -a

ARP攻击：通过发送虚假的ARP报文请求，或者ARP的应答请求，可以使其对方断网。

ARP欺骗：通过发送伪造的虚假的ARP报文    (广播或者单播)      // 可以通过发送虚假的广播或者单播欺骗其它主机我是网关，可以截取到局域网的网络流量。

    如果虚假报文的MAC地址是伪造的不存在的，实现ARP攻击，结果为中断通信/断网

    如果虚假报文的MAC地址是攻击者自身的MAC地址，实现ARP欺骗，结果可以监听，窃取，篡改，控制流量，但不中断通信。

产生ARP攻击漏洞的原理：ARP协议没有验证机制，我说我是谁，我的MAC地址是什么就是什么。

ARP攻击防御：

1，静态ARP绑定：手工在主机和网关路由器上面双向添加ip和MAC地址的绑定，能有效避免中间人进行ARP投毒。    // 一般在主机较少的情况下使用，比如用在服务器上。

2，ARP防火墙：自动进行静态ARP绑定，主动防御，不断的发ARP报文数据包证明我是我。 // 缺点：增加网关负担。

3，硬件级ARP防御：购买企业级支持ARP防火墙的交换机，只要主机和交换机端口网线连接一插上，端口就把当前ip和,MAC地址进行了一个动态绑定，只要发ARP报文，IP和MAC地址和交换机端口上绑定的不一致，就会把ARP报文杀死，或者直接把该端口给down掉。