ARP
18 Apr 2025linux ARP(Address Resolution Protocol,地址解析協定)是一種網路協定,用來在區域網路中將 IP 位址解析為實體的 MAC 位址。 ARP(有時稱為第 2 層,因為它正在更新底層網路拓撲)為了到達某個 IP 位址,讓流量發送到特定的硬體。 ARP 通常會向整個網路廣播更新,更新 IP 到硬體(MAC)的映射,以確保流量傳送到正確的實體或虛擬網路卡。
簡單理解
當一台電腦(例如你的筆電)想要跟同一區域網內的另一台主機通訊,它只知道對方的 IP 位址(例如 192.168.1.10),但真正發資料需要的是對方的 MAC 位址(像 00:1a:2b:3c:4d:5e)──這時就靠 ARP。
運作流程:
-
A 想發封包給 B(知道 B 的 IP)
-
A 查自己 ARP cache,沒有對應的 MAC
-
A 發出一個 ARP 請求(廣播): 「誰是 192.168.1.10?請回傳你的 MAC 給我」
-
B 收到後回傳 ARP 回應: 「我是!我的 MAC 是 00:1a:2b:3c:4d:5e」
-
A 收到後把 IP→MAC 關係暫存起來(放進 ARP 快取)
接著就能發出以對方 MAC 為目的的乙太網封包了
相關命令
在 Linux/macOS:
- 顯示目前 ARP 快取
arp -a - 查看 ARP 表(較新用法)
ip neigh
ARP 攻擊(ARP Spoofing)
因為 ARP 沒有驗證機制,某些駭客會假冒 IP 位址回應假的 MAC,讓資料誤傳到他那邊,這叫 中間人攻擊(Man-in-the-Middle)。