1、数据链路层

数据链路层（2层 Data Link Layer）
1.属于2层
2.传输单元：帧
帧头：6+6+2=14字节
MTU值：1500字节
帧尾：4字节

帧头内容：目标MAC、源MAC、类型
类型的作用：识别上层协议
0x0800：上层为IP协议
0x0806：上层为ARP协议
0x代表16进制

工作在数据链路层的设备：交换机/网卡

2、网络层

三种协议：icmp、ip、arp

2.1、ARP协议

1.地址解析协议
2.作用：将IP解析为MAC地址
3.原理：1）发送ARP广播请求
ARP报文内容:我是10.1.1.1 我的mac：AA
谁是10.1.1.3 你的mac：？
2）接收ARP单播应答
4.ARP攻击或欺骗的原理是：
通过发送伪造虚假的ARP报文（广播或单播），来实现的攻击或欺骗！
如虚假报文的mac是伪造的不存在的，实现ARP攻击，结果为中断通信/断网！
如虚假报文的mac是攻击者自身的mac地址，实现ARP欺骗，结果可以监听、窃取、篡改、控制流量，但不中断通信！

5.ARP协议没有验证机制，所以容易被arp投毒攻击

6.ARP攻击者通过发送虚假伪造的arp报文对受害者进行ARP缓存投毒

7、ARP攻击防御
1.静态ARP绑定
手工绑定/双向绑定
windows客户机上：
arp -s 10.1.1.254 00-01-2c-a0-e1-09
arp -a 查看ARP缓存表
路由器上静态绑定：
Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0
优点：配置简单
缺点：工作量大，维护量大

2.ARP防火墙
自动绑定静态ARP
主动防御
优点：简单易用
缺点：当开启人数较多时，会增大网络负担

3.硬件级ARP防御：
交换机支持“端口”做动态ARP绑定（配合DHCP服务器）
或做静态ARP绑定

如：
conf t
ip dhcp snooping
int range f0/1 - 48
switch(config-range-if)#