一、工作原理

1、ARP介绍

ARP(地址协议)，将一个已知的IP地址解析为MAC地址 同网段通信，解析的是主机的MAC地址 不同网段通信解析的是自己网关的MAC地址

2、ARP原理

源主机发送ARP广播报文，目的主机收到广播报文后拆开ARP报文中的内容记录发送方主机的IP地址和MAC地址记录到自身的ARP缓存表中,进行ARP单播响应

windows命令

arp -a	查看本机的ARP缓存表
arp -d	清空arp缓存表

Linux命令

arp -n	以数字形式显示IP地址
arp -d IP地址	删除指定的IP记录

3、ARP报文内容

  一般情况下，网络中的第一个报文都是ARP报文

	• Hardware type: Ethernet (1)：物理类型，目前计算机物理网卡都是以太网卡

	• Protocol type: IPv4 (0x0800)：协议类型，目前计算机网络使用的都是IPv4
	• Hardware size: 6：物理长度，一个以太网MAC地址占48位，6字节
	• Protocol size: 4：协议长度，一个IPv4地址32位，4字节
	• Opcode: request (1)：操作代码；在arp报文中只有两种报文（request为1，replay为2）
	• Sender MAC address: VMware_95:44:5f (00:0c:29:95:44:5f)：发送方MAC 地址
	• Sender IP address: 192.168.252.128：发送方IP 地址
	• Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)：接收方MAC 地址
	• Target IP address: 192.168.252.2：接收方IP 地址

图片：

二、ARP欺骗实验

1、ARP攻击和欺骗实验场景

一台kali：攻击主机 一台Win10：靶机

2、相关命令

在kali删安装dnsiff工具，向靶机持续发送ARP应答报文

图片：