ARP协议与防护

广播与广播域概述
    广播与广播域
        - 广播：将广播地址做为目的地址的数据帧
        - 广播域：网络中能接收到同一个广播所有节点的集合
        所有人都能收到
        单播只有一个人可以收到
        单播是拿具体的iP/mac 
    MAC 地址广播
        广播地址为FF-FF-FF-FF-FF-FF
    ip地址广播
        1.255.255.255.255 全局广播
        2.广播IP地址为IP地址网段的广播地址：192.168.1.255/24

交换机无法隔离广播域
路由器可以控制广播

ARP协议概述
 - Address Resolution Protocol 地址解析协议
 - 将一个已知的IP地址解析成MAC地址

网络层ARP协议会生成报文
    ARP请求解析报文
    1-> ARP广播报文
        目标MAC地址 FF-FF-FF-FF-FF-FF 
    2-> ARP单播应答

ARP缓存
arp 只是内网协议，不能攻击外网
ARP 命令:
    arp -a: 查看个人电脑的arp缓存
    arp -d: 清除ARP缓存
    arp -s: ARP绑定

目标IP与自己不在同一个网段
    仍然会发生ARP广播报文
    但是询问的是网关

ARP攻击：
    通过ARP 应答报文攻击
        中断通信
        伪造虚假的ARP报文以及虚假的MAC地址
        实现的目的是断网
    通过ARP 广播报文攻击
        局域网所有人听到广播
        将虚假的信息记录到缓存内

ARP欺骗:
    ty 10.3 cc
    jz 10.4 dd
    网关 10.254
    截获你们的数据

ARP协议没有验证机制

路由器工作原理
1）一个帧到达路由，路由器首先检查目标MAC地址，是否自己，
    是否自己，如果不是则丢弃，如果是则解封装，并将IP包送到路由器内部
2）路由器检查IP包里的目标IP，并匹配路由表，
    如果匹配失败，则丢弃，并向源IP回馈错误信息，
    如果匹配成功，则将IP包路由到出接口
3）封装帧，首先将出接口的MAC地址作为源MAC封装好，
    然后检查ARP缓存表，检查是否存在有吓一跳MAC地址，
    如有，将提取并作为目标MAC地址封装到帧中，
    如没有则发送ARP广播请求

cmd
ipconfig /all
-91 为 victim1 的 MAC
-2E 为attacker 的 MAC
-E8 为 victim2 的 MAC

ping 10.1.1.2
ping 10.1.1.3
arp -a