1.1 两套地址，两个世界#

网络层用 IP 地址寻址，链路层用 MAC 地址寻址。这两套地址体系服务于不同的目标：

• IP 地址是逻辑地址，标识”你在网络中的位置”。它随拓扑变化——你从家里换到公司，IP 地址就变了。IP 地址的核心功能是路由：让数据包跨越多个网络，从源端走到目的端。
• MAC 地址是物理地址，标识”你是哪块网卡”。它烧录在网卡的 ROM 里，全球唯一（理论上）。MAC 地址的核心功能是局部交付：在同一个广播域内，把帧从一台主机送到另一台主机。

为什么不能只用 IP？因为以太网——以及几乎所有链路层技术——在物理层面只认硬件地址。交换机根据 MAC 地址转发帧，不解析 IP 头。你可以在以太网上跑 IPv4、IPv6 甚至 IPX，交换机统统不关心——它只看帧头里的 MAC 地址。

为什么不能只用 MAC？因为 MAC 地址是扁平的，没有层次结构。00:1a:2b:3c:4d:5e 这串数字不包含任何”你在哪个网络”的信息。路由器如果按 MAC 地址转发，就需要一张包含全世界每块网卡地址的转发表——这在规模上不可行。

1.2 发送数据包时的核心问题#

当主机 A 要向主机 B 发送 IP 数据包时，内核的发送流程大致如下：

1. 查路由表，确定下一跳的 IP 地址
2. 根据下一跳 IP，查找对应的 MAC 地址
3. 用这个 MAC 地址封装以太网帧
4. 网卡将帧发送到物理介质

第 2 步就是 ARP 的工作。ARP（Address Resolution Protocol，地址解析协议）解决的核心问题只有一句话：已知下一跳的 IP 地址，如何获得对应的 MAC 地址？

2.1 ARP 解析的完整过程#

假设主机 A（IP: 192.168.1.100，MAC: aa:aa:aa:aa:aa:aa）要向网关路由器（IP: 192.168.1.1）发送数据包，但 A 的 ARP 缓存中没有 192.168.1.1 的 MAC 地址。

整个过程的关键点：

1. ARP 请求是广播帧——目的 MAC 填 ff:ff:ff:ff:ff:ff，同一广播域内所有主机都会收到
2. ARP 应答是单播帧——只有被请求的主机回复，直接发给请求者
3. 收到 ARP 请求的主机都会更新缓存——即使你没有应答，你也能从请求中提取”谁在问”的 IP-MAC 映射
4. ARP 是无状态协议——没有握手、没有确认，请求和应答之间没有连接

2.2 ARP 报文格式#

ARP 报文直接封装在以太网帧中，以太网类型字段为 0x0806。报文本身非常简洁，总共 28 字节：

1
 0                   1                   2                   3
2
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
3
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
4
|        硬件类型(htype)         |        协议类型(ptype)         |
5
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
6
| hlen  | plen  |          操作码(opcode)                       |
7
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
8
|                    发送方MAC地址(前4字节)                       |
9
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
10
| 发送方MAC(后2字节) |     发送方IP地址(前2字节)                  |
11
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
12
| 发送方IP(后2字节)  |     目标MAC地址(前2字节)                   |
13
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
14
|                    目标MAC地址(后4字节)                         |
15
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
16
|                    目标IP地址                                  |
17
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

ARP 请求与应答使用相同的报文格式，区别只在操作码和填充内容：

注意一个容易忽略的细节：ARP 请求中目标 MAC 填全零（因为还不知道），但以太网帧头的目的 MAC 填全 F（广播）。这两层目的地址的含义不同——帧头的全 F 是告诉交换机”这个帧要发给所有人”，ARP 报文里的全零是告诉接收方”我不知道你的 MAC，请告诉我”。

2.3 用 tcpdump 抓 ARP 包#

1
# 在主机A上抓取ARP报文
2
sudo tcpdump -i eth0 -nn arp
3

4
# 输出示例：
5
# ARP, Request who-has 192.168.1.1 tell 192.168.1.100, length 28
6
# ARP, Reply 192.168.1.1 is-at bb:bb:bb:bb:bb:bb, length 28

加上 -e 选项可以看到以太网帧头：

1
sudo tcpdump -i eth0 -nn -e arp
2

3
# 输出示例：
4
# aa:aa:aa:aa:aa:aa > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806),
5
#   length 42: Request who-has 192.168.1.1 tell 192.168.1.100
6
# bb:bb:bb:bb:bb:bb > aa:aa:aa:aa:aa:aa, ethertype ARP (0x0806),
7
#   length 42: Reply 192.168.1.1 is-at bb:bb:bb:bb:bb:bb

注意帧长度是 42 字节——14 字节以太网帧头 + 28 字节 ARP 报文。但以太网要求最小帧长 64 字节，不足的部分由网卡自动填充。

2.4 ARP 缓存表#

每次 ARP 解析都需要广播一次请求，代价不小。所以主机把解析结果缓存起来，后续发送直接查缓存：

1
# 查看ARP缓存表
2
arp -a
3

4
# 输出示例：
5
# ? (192.168.1.1) at bb:bb:bb:bb:bb:bb [ether] on eth0
6
# ? (192.168.1.50) at cc:cc:cc:cc:cc:cc [ether] on eth0
7
# ? (10.0.0.1) at dd:dd:dd:dd:dd:dd [ether] on eth1

Linux 上更推荐使用 ip neigh 命令：

1
# 查看邻居表（ARP缓存的现代替代）
2
ip neigh show
3

4
# 输出示例：
5
# 192.168.1.1 dev eth0 lladdr bb:bb:bb:bb:bb:bb REACHABLE
6
# 192.168.1.50 dev eth0 lladdr cc:cc:cc:cc:cc:cc STALE
7
# 10.0.0.1 dev eth1 lladdr dd:dd:dd:dd:dd:dd DELAY

ip neigh 的输出比 arp -a 多了一个状态字段，这个状态来自 Linux 内核的邻居状态机：

• REACHABLE：可达，缓存有效，可直接使用
• STALE：过期，缓存超时但尚未验证，发送数据前需重新确认
• DELAY：延迟等待，已发送单播探测，等待回应
• PROBE：探测中，正在发送 ARP 请求
• FAILED：解析失败

2.5 ARP 超时与更新#

ARP 缓存不是永久的。Linux 内核中，REACHABLE 状态的默认超时时间是 30 秒（由 gc_stale_time 控制），超时后转为 STALE。STALE 状态的条目不会立即删除——下次发送数据时，内核会先发一个单播 ARP 探测，如果对方回应则刷新缓存，否则进入完整的 ARP 解析流程。

1
# 手动删除ARP缓存条目（强制下次重新解析）
2
sudo arp -d 192.168.1.1
3

4
# 或者用ip命令
5
sudo ip neigh del 192.168.1.1 dev eth0
6

7
# 验证删除成功
8
ip neigh show | grep 192.168.1.1
9
# （无输出表示已删除）

2.6 用 arping 主动探测#

arping 工具可以主动发送 ARP 请求，用于检测 IP 冲突或手动触发 ARP 解析：

1
# 向192.168.1.1发送ARP请求
2
sudo arping -I eth0 192.168.1.1
3

4
# 输出示例：
5
# ARPING 192.168.1.1 from 192.168.1.100 eth0
6
# Unicast reply from 192.168.1.1 [bb:bb:bb:bb:bb:bb]  0.695ms
7
# Unicast reply from 192.168.1.1 [bb:bb:bb:bb:bb:bb]  0.712ms
8
# Sent 2 probes (1 broadcast(s))
9
# Received 2 response(s)
10

11
# 检测IP冲突：如果收到多个不同MAC的应答，说明存在冲突
12
sudo arping -D -I eth0 192.168.1.100
13
# 返回0表示无冲突，返回1表示有冲突

3.1 免费 ARP（Gratuitous ARP）#

免费 ARP 是一种特殊的 ARP 请求：主机询问自己的 IP 地址对应的 MAC。看起来荒谬——自己问自己？但这个操作有两个实际用途：

地址冲突检测：主机配置 IP 地址时，发送免费 ARP 请求。如果网络中有另一台主机使用了相同的 IP，它会回应——这就检测到了 IP 冲突。Linux 在设置 IP 地址时会自动做这个检测。

通知 MAC 变更：当主机的 MAC 地址发生变化（比如更换网卡、高可用集群的 VIP 漂移），发送免费 ARP 可以让网络中其他主机更新它们的 ARP 缓存。否则，其他主机还会用旧的 MAC 地址发包，导致通信中断。

1
# 手动发送免费ARP
2
sudo arping -A -I eth0 -c 3 192.168.1.100
3

4
# -A: 使用ARP应答格式（而非请求）
5
# -c 3: 发送3次
6
# 这会广播"192.168.1.1的MAC是bb:bb:bb:bb:bb:bb"
7
# 所有收到此包的主机都会更新ARP缓存

免费 ARP 在高可用场景中特别重要。当 Keepalived 或 VRRP 执行主备切换时，新的主节点会立即广播免费 ARP，让交换机和其他主机将 VIP 的 MAC 地址更新为新主节点的 MAC，从而实现秒级切换。

3.2 代理 ARP（Proxy ARP）#

代理 ARP 让路由器代替远端主机应答 ARP 请求。考虑这个场景：主机 A（192.168.1.100/24）要访问主机 B（10.0.0.50），但 B 不在 A 的子网内。正常情况下，A 应该查路由表、找到默认网关、ARP 解析网关的 MAC。但如果 A 没有配置默认网关呢？

这时，路由器可以开启代理 ARP。当路由器收到 A 的 ARP 请求（“谁有 10.0.0.50？”），它发现 10.0.0.50 在自己的另一个接口可达，于是代替 B 回应：“10.0.0.50 的 MAC 是路由器自己的 MAC。“A 收到应答后，把数据包发给了路由器，路由器再转发给 B。

1
# 在Linux路由器上开启代理ARP
2
sudo sysctl -w net.ipv4.conf.eth0.proxy_arp=1
3

4
# 查看代理ARP状态
5
cat /proc/sys/net/ipv4/conf/eth0/proxy_arp
6
# 1 = 开启, 0 = 关闭

3.3 免费 ARP vs 普通 ARP vs 代理 ARP#

代理 ARP 看起来方便——主机不需要配置网关也能跨网段通信。但它有几个严重问题：

1. 广播域扩大：每个跨网段通信都会触发 ARP 广播，增加网络负担
2. 故障排查困难：ARP 缓存中远端主机的 MAC 实际上是路由器的 MAC，排查时容易混淆
3. 子网规划失效：原本通过子网划分隔离的广播域被代理 ARP 打通了
4. 安全风险：恶意主机可以伪造代理 ARP 应答，劫持流量

4.1 路由表的结构#

1
# 传统格式查看路由表
2
route -n
3

4
# 输出示例：
5
# Kernel IP routing table
6
# Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
7
# 192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
8
# 10.0.0.0        192.168.1.1     255.255.0.0     UG    0      0        0 eth0
9
# 0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

1
# 推荐的现代格式
2
ip route show
3

4
# 输出示例：
5
# default via 192.168.1.1 dev eth0
6
# 10.0.0.0/16 via 192.168.1.1 dev eth0
7
# 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.100

每条路由记录包含以下关键字段：

• 目的网络：数据包要去的网络地址
• 下一跳/网关：数据包应该转发给谁（0.0.0.0 表示直连，不需要网关）
• 子网掩码/前缀长度：决定这条路由的匹配范围
• 出接口：从哪个网卡发出去
• 度量值（Metric）：相同目的网络有多条路由时，优先选度量值小的

4.2 最长前缀匹配#

路由表中可能有多条路由都能匹配目的地址。比如目的地址 10.0.1.50 同时匹配 10.0.0.0/16 和 10.0.1.0/24，选哪条？

答案是最长前缀匹配（Longest Prefix Match）：选掩码最长、最精确的那条。10.0.1.0/24 的前缀长度是 24，比 10.0.0.0/16 的 16 更长，所以选 /24 那条。

最长前缀匹配是路由查找的核心算法。它允许路由表中同时存在粗粒度和细粒度的路由——默认路由覆盖”所有其他”，而更具体的路由覆盖特定子网。这种分层设计让路由表既紧凑又灵活。

4.3 默认路由 0.0.0.0/0#

默认路由是前缀长度为 0 的路由——它匹配任何目的地址。当所有更具体的路由都不匹配时，数据包就走默认路由。对于大多数终端主机，路由表只有两条：

1
# 典型终端主机的路由表
2
ip route show
3
# default via 192.168.1.1 dev eth0          # 默认路由：其他都走网关
4
# 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.100  # 直连路由

直连路由是内核自动生成的——当你给网卡配置 IP 地址时，内核会自动添加一条指向该子网的路由。默认路由通常由 DHCP 下发，或者手动配置。

4.4 路由表的生成：静态配置 vs 动态协议#

1
# 添加静态路由
2
sudo ip route add 10.0.0.0/16 via 192.168.1.1 dev eth0
3

4
# 删除静态路由
5
sudo ip route del 10.0.0.0/16
6

7
# 添加默认路由
8
sudo ip route add default via 192.168.1.1 dev eth0
9

10
# 持久化静态路由（Ubuntu/Debian）
11
# 写入 /etc/network/interfaces 或 Netplan 配置

4.5 一个路由查找的完整过程#

假设主机 A（192.168.1.100）要向 10.0.1.50 发送数据包，路由表如下：

1
default via 192.168.1.1 dev eth0
2
10.0.0.0/16 via 192.168.1.2 dev eth0
3
10.0.1.0/24 via 192.168.1.3 dev eth0
4
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.100

查找过程：

1. 目的地址 10.0.1.50，逐条匹配
2. 192.168.1.0/24：不匹配（10 开头，不是 192.168.1）
3. 10.0.1.0/24：匹配！前缀长度 24
4. 10.0.0.0/16：也匹配，但前缀长度 16 < 24，不如上一条精确
5. default：也匹配，前缀长度 0，最不精确
6. 选择 10.0.1.0/24，下一跳 192.168.1.3

接下来，内核需要 ARP 解析 192.168.1.3 的 MAC 地址——这就回到了上一节的内容。

5.1 完整链路追踪#

“首跳”指的是数据包从源主机出发的第一步——到达默认网关。这一步涉及应用层、内核协议栈、ARP、以太网封装、交换机转发等多个环节。追踪一个完整的 ping 10.0.0.1 的首跳过程：

5.2 逐步拆解#

第 1 步：应用调用 send()

用户执行 ping 10.0.0.1，ping 程序构造 ICMP Echo Request，调用系统调用发送数据。

第 2 步：内核查路由表

内核收到目的地址 10.0.0.1，查找路由表：

1
default via 192.168.1.1 dev eth0
2
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.100

10.0.0.1 不在 192.168.1.0/24 内，匹配默认路由，下一跳为 192.168.1.1。

第 3 步：ARP 解析网关 MAC

内核检查 ARP 缓存中是否有 192.168.1.1 的 MAC 地址。如果有，直接使用；如果没有，发起 ARP 解析（见第二节的过程）。

第 4 步：封装以太网帧

内核构造以太网帧：

注意一个关键点：以太网帧的目的 MAC 是网关的，但 IP 包的目的地址是最终目的地。这就是”逐跳转发”——每一跳只关心下一跳的 MAC，IP 层的源和目的地址在整个传输过程中不变（NAT 除外）。

第 5 步：发送到交换机

网卡将帧编码为电信号（或光信号），通过网线发送到交换机。

第 6 步：交换机转发

交换机收到帧后，执行两个操作：

1. 学习：记录源 MAC aa:aa:aa:aa:aa:aa 从端口 1 收到，更新 MAC 地址表
2. 转发：查 MAC 地址表，bb:bb:bb:bb:bb:bb 在端口 3，将帧从端口 3 发出

如果 MAC 地址表中没有 bb:bb:bb:bb:bb:bb 的记录，交换机会将帧从所有端口（除接收端口外）泛洪——这就是广播域内交换机处理未知单播帧的方式。

第 7 步：路由器接收

路由器从端口 3 收到帧，检查目的 MAC 是自己的 MAC，接收此帧。解封装提取 IP 数据包，查路由表决定下一步转发。

5.3 用 Wireshark 抓包验证#

在主机 A 上用 Wireshark 抓取 ping 10.0.0.1 的首跳过程，可以看到以下关键帧：

1
# 先清空ARP缓存，强制触发ARP解析
2
sudo ip neigh del 192.168.1.1 dev eth0
3

4
# 开始抓包
5
sudo tcpdump -i eth0 -nn -e -vv
6

7
# 另一个终端执行ping
8
ping -c 1 10.0.0.1

抓包输出（简化）：

1
# 帧1: ARP请求（广播）
2
aa:aa:aa:aa:aa:aa > ff:ff:ff:ff:ff:ff, ARP, Request who-has 192.168.1.1 tell 192.168.1.100
3

4
# 帧2: ARP应答（单播）
5
bb:bb:bb:bb:bb:bb > aa:aa:aa:aa:aa:aa, ARP, Reply 192.168.1.1 is-at bb:bb:bb:bb:bb:bb
6

7
# 帧3: ICMP Echo Request
8
aa:aa:aa:aa:aa:aa > bb:bb:bb:bb:bb:bb, IPv4, 192.168.1.100 > 10.0.0.1, ICMP Echo Request
9

10
# 帧4: ICMP Echo Reply（路由器转发回来）
11
bb:bb:bb:bb:bb:bb > aa:aa:aa:aa:aa:aa, IPv4, 10.0.0.1 > 192.168.1.100, ICMP Echo Reply

帧 1 和帧 2 是 ARP 解析过程，帧 3 和帧 4 是实际的 ICMP 通信。注意帧 3 的以太网目的 MAC 是网关的 bb:bb:bb:bb:bb:bb，而 IP 目的地址是 10.0.0.1——这就是”以太网层逐跳、IP 层端到端”的体现。

6.1 ARP 欺骗原理#

ARP 协议设计时没有考虑安全——它信任所有收到的 ARP 报文。任何人都可以发送伪造的 ARP 应答，声称”某个 IP 的 MAC 是我的 MAC”，从而将流量劫持到自己这里。

ARP 欺骗之所以容易得手，是因为：

1. ARP 是无状态协议——没有请求也可以发应答，主机无法区分合法应答和伪造应答
2. ARP 缓存可被覆盖——收到新的 ARP 应答就更新缓存，即使旧条目还在有效期内
3. ARP 没有认证机制——报文中没有任何字段可以验证发送者的身份

6.2 用 scapy 构造 ARP 包#

scapy 是一个强大的 Python 网络包操作库，可以用来构造和发送自定义 ARP 报文：

1
from scapy.all import *
2

3
# 构造ARP请求
4
arp_request = ARP(
5
    pdst="192.168.1.1"  # 目标IP
6
)
7
# scapy会自动填充：
8
# hwdst=00:00:00:00:00:00（未知）
9
# psrc=本机IP
10
# hwsrc=本机MAC
11
# op=1（请求）
12

13
# 发送并接收应答
14
ans, unans = srp(
15
    Ether(dst="ff:ff:ff:ff:ff:ff") / arp_request,
16
    timeout=2,
17
    iface="eth0"
18
)
19

20
# 打印结果
21
for sent, received in ans:
22
    print(f"{received.psrc} 的MAC地址是 {received.hwsrc}")
23

24
# 构造ARP应答（用于测试，勿用于攻击）
25
# 以下代码仅用于理解协议，实际使用可能违反法律
26
arp_reply = ARP(
27
    op=2,                          # 应答
28
    pdst="192.168.1.100",          # 目标主机IP
29
    hwdst="aa:aa:aa:aa:aa:aa",     # 目标主机MAC
30
    psrc="192.168.1.1",            # 伪装的IP（网关）
31
    hwsrc="cc:cc:cc:cc:cc:cc"      # 攻击者的MAC
32
)

6.3 静态 ARP 绑定#

最简单的防御手段是静态绑定——手动指定 IP 和 MAC 的对应关系，禁止动态更新：

1
# 添加静态ARP条目
2
sudo arp -s 192.168.1.1 bb:bb:bb:bb:bb:bb
3

4
# 验证
5
arp -a | grep 192.168.1.1
6
# ? (192.168.1.1) at bb:bb:bb:bb:bb:bb [ether] PERM on eth0
7
# 注意 PERM 标记，表示永久条目
8

9
# 删除静态条目
10
sudo arp -d 192.168.1.1

静态绑定的缺点显而易见：不适合大型网络，MAC 地址变更时需要手动更新所有主机的绑定。它只适用于关键设备（网关、服务器）的防护。

6.4 DAI 动态 ARP 检测#

DAI（Dynamic ARP Inspection）是交换机层面的防御机制。它的核心思路是：交换机只转发合法的 ARP 报文。

DAI 的工作流程：

1. 交换机维护一个 DHCP Snooping 绑定表，记录每个端口通过 DHCP 获得的 IP-MAC 映射
2. 当交换机收到 ARP 报文时，检查报文中的 IP-MAC 对是否在绑定表中
3. 如果匹配，转发；如果不匹配，丢弃

1
# Cisco交换机配置DAI
2
ip arp inspection vlan 10
3
ip arp inspection validate src-mac dst-mac ip
4

5
# 信任端口（如连接路由器的端口）
6
interface GigabitEthernet0/1
7
  ip arp inspection trust

DAI 的前提是网络使用 DHCP。对于使用静态 IP 的设备，需要手动配置允许列表。

6.5 为什么 ARP 是链路层安全的薄弱环节#

ARP 的安全问题不是实现缺陷，而是协议设计的固有局限。1982 年 RFC 826 定义 ARP 时，网络规模小、设备可信，安全不是优先考虑。ARP 的三个根本性弱点：

1. 无认证：任何主机都可以发送 ARP 应答，接收方无法验证其真实性
2. 可覆盖：新的 ARP 信息无条件覆盖旧信息，即使旧信息来自可信源
3. 广播域内全局影响：一个伪造的 ARP 应答可以影响整个广播域的通信

这三个弱点叠加，使得 ARP 欺骗成为局域网攻击的常见手段。彻底解决需要部署 DAI 等交换机层面的防护，或者迁移到 IPv6——IPv6 用 NDP（Neighbor Discovery Protocol）替代 ARP，NDP 基于 ICMPv6，支持 IPsec 认证，安全性显著提升。