arp命令详解Windows 2010-01-14 10:20:12 阅读372 评论0 字号:大中小
C:\Documents and Settings\Admini>arp /?
Displays and modifies the IP-to-Physical address translation tables
used by
address resolution protocol (ARP).
ARP -s inet_addr eth_addr [if_addr]
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr]
-a Displays current ARP entries by interrogating the
current
protocol data. If inet_addr is specified, the IP and
Physical
addresses for only the specified computer are
displayed. If
more than one network interface uses ARP, entries for
each ARP
table are displayed.
-g Same as -a.
inet_addr Specifies an internet address.
-N if_addr Displays the ARP entries for the network interface
specified
by if_addr.
-d Deletes the host specified by inet_addr. inet_addr may
be
wildcarded with * to delete all hosts.
-s Adds the host and associates the Internet address
inet_addr
with the Physical address eth_addr. The Physical
address is
given as 6 hexadecimal bytes separated by hyphens. The
entry
is permanent.
eth_addr Specifies a physical address.
if_addr If present, this specifies the Internet address of the
interface whose address translation table should be
modified.
If not present, the first applicable interface will be
used.
Example:
> arp -s 157.55.85.212 00-aa-00-62-c6-09 .... Adds a static
entry.
> arp -a .... Displays the arp
table.
显示和修改IP到物理地址转换表的使用
地址解析协议(ARP)。
地址解析协议- ? inet_addr eth_addr [if_addr]
地址解析协议三维inet_addr [if_addr]
地址解析协议- 1 [inet_addr] [氮if_addr]
- a显示当前ARP项由目前的审讯
协议数据。如果inet_addr指定的IP和物理
因为只有指定的计算机地址显示。如果
多个网络接口,使用每个地址解析协议阿普项
表中显示。
接枝同- 1。
inet_addr指定Internet地址。
氮if_addr显示为网络接口的ARP项指定
由if_addr。
- d删除由inet_addr指定的主机。 inet_addr可能
带*通配符删除所有主机。
- ?添加主机及联营公司的Internet地址inet_addr
与物理地址eth_addr。物理地址
鉴于由连字符分隔的6十六进制字节。该条目
是永久性的。
eth_addr指定一个物理地址。
如果目前的if_addr,这种指定的互联网网址
接口的地址转换表应修改。
如果不存在,第一个适用的接口将
被使用。
例如:
“阿普-仛157.55.85.212 00 -机管局- 00 - 62 -的C6 - 09 ....添加一个静
态项。
“阿普- 1 ....显示ARP表。
arp命令使用详解(1)
显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个
表,它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上
安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的
情况下使用,则 arp 命令将显示帮助信息。
语法
arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d
InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]
参数
-a[ InetAddr] [ -N IfaceAddr]
显示所有接口的当前 ARP 缓存表。要显示特定 IP 地址的 ARP 缓存项,请使用
带有 InetAddr 参数的 arp -a,此处的 InetAddr 代表 IP 地址。如果未指定
InetAddr,则使用第一个适用的接口。要显示特定接口的 ARP 缓存表,请将 -N
IfaceAddr 参数与 -a 参数一起使用,此处的 IfaceAddr 代表指派给该接口的
IP 地址。-N 参数区分大小写。
-g[ InetAddr] [ -N IfaceAddr]
与 -a 相同。
-d InetAddr [IfaceAddr]
删除指定的 IP 地址项,此处的 InetAddr 代表 IP 地址。对于指定的接口,要
删除表中的某项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接
口的 IP 地址。要删除所有项,请使用星号 (*) 通配符代替 InetAddr。
-s InetAddr EtherAddr [IfaceAddr]
向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项
。要向指定接口的表添加静态 ARP 缓存项,请使用 IfaceAddr 参数,此处的
IfaceAddr 代表指派给该接口的 IP 地址。
/?
在命令提示符下显示帮助。
注释
? InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。
? EtherAddr 的物理地址由六个字节组成,这些字节用十六进制记数法表示并且
用连字符隔开(比如,00-AA-00-4F-2A-9C)。
arp 命令
处理系统的 ARP 缓存,可以清除缓存中的地址映射,建立新的地址映射;
语法:arp [-v][-n][-H type][-i if] -a [hostname]
arp [-v][-i if] -d hostname [pub]
arp [-v][-H type][-i if] -s hostname hw_addr [temp]
arp [-v][-H type][-i if] -s hostname hw_addr [netmask nm] pub
arp [-v][-H type][-i if] -Ds hostname ifa [netmask nm] pub
arp [-v][-n][-D][-H type][-i if] -f [filename]
该命令的各选项含义如下:
-v 显示详细信息;
-n 以数字地址形式显示;
-i If选择界面;
-H type设置和查询arp缓存时检查 type 类型的地址;
-a [hostname] 显示指定 hostname 的所有入口;
arp命令使用详解(2)
-d hostname 删除指定 hostname 的所有入口;
-D 使用ifa硬件地址界面;
-s hos
tname hw_addr 手工加入 hostname 的地址映射;
-f filename 从指定文件中读入 hostname 和硬件地址信息
-s hostname hw_addr 手工加入 hostname 的地址映射;
采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定安全网关的IP和MAC地址:
1)首先,获得安全网关的内网的MAC地址(例如HiPER网关地址
192.168.16.254的MAC地址为0022aa0022aa)。
2)编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即
可。
将这个批处理软件拖到“windowsà开始à程序à启动”中。
3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)
发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目
录为“C:\Documents and Settings\All Users「开始」菜单程序启动”。
we are also finding something a beautiful feeling … it is easy to
know u are happy so i am happy
ARP绑定功能使用帮助
ARP协议是处于数据链路层的网络通信协议,它完成IP地址到物理地址(即MAC地
址)的转换功能。而ARP病毒正是通过伪造IP地址和MAC地址实现ARP欺骗,导致
数据包不能发到正确的MAC地址上去,会在网络中产生大量的ARP通信量使网络阻
塞,从而导致网络无法进行正常的通信。
中了ARP病毒的主要症状是,机器之前可正常上网的,突然出现不能上网的现象
(无法ping通网关),重启机器或在MS-DOS窗口下运行命令“arp –d”后,又
可恢复上网一段时间。有的情况是可以上网,但网速奇慢。
目前带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”
、“网吧传奇杀手”等,这些软件中,有些是人为手工操作来破坏网络的,有些
是作为病毒或者木马出现,使用者可能根本不知道它的存在,这样的ARP病毒的
杀伤力不可小觑。
从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对路由器ARP
表的欺骗;另一种是对内网电脑ARP表的欺骗,当然也可能两种攻击同时进行。
不管理怎么样,欺骗发生后,电脑和路由器之间发送的数据就被送到错误的MAC
地址上。从而导致了上面的症状的发生。
ARP绑定是防止ARP欺骗的有效方法,就是把IP地址与相应的MAC地址进行绑定来
避免ARP欺骗。ARP欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种,因此MAC地
址绑定也有路由器ARP表的绑定和电脑上ARP表的绑定。两个方面的设置都是必须
的,不然,如果您只设置了路由器的防止ARP
欺骗功能而没有设置电脑,电脑被
欺骗后就不会把数据包发送到路由器上,而是发送到一个错误的地方,当然无法
上网和访问路由器了
arp命令使用详解(3)
-、路由器ARP表绑定设置
视具体路由器而定。比如安庆教育网使用的是Quidway Eudemon 500/1000防火墙
。兼用路由器。他的命令是:
# 配置客户机IP地址和MAC地址到地址绑定关系中。
[Eudemon] firewall mac-binding 202.169.168.1 00e0-fc00-0100
# 使能地址绑定功能。
[Eudemon] firewall mac-binding enable
二、电脑ARP绑定设置
Windows操作系统带有ARP命令程序,可以在Windows的命令提示符下就用这个命
令来完成ARP绑定。
打开Windows命令提示符,输入“arp –a”,可以查看当前电脑上的ARP映射表
。可以看到当前的ARP表的类型是“dynamic”,即动态的,通过
“arp –s w.x.y.z aa-bb-cc-dd-ee-ff”命令来添加静态ARP实现ARP绑定。其
中w.x.y.z代表路由器的IP地址,aa-bb-cc-dd-ee-ff代表路由器的MAC地址。
例如:arp -s 192.168.1.1 00-02-b3-3c-16-95
再输入“arp -a”就可以看到刚才添加的静态ARP条目了。
为了不必每次重启电脑后都要重新输入上面的命令来实现防止ARP欺骗,可以新
建一个批处理文件如arp_bind.bat。在里面加入我们刚才的命令:
arp -s 192.168.1.1 00-02-b3-3c-16-95
保存就可以了,以后可以通过双击它来执行这条命令,还可以把它放置到系统的
启动目录下来实现启动时自己执行。打开电脑“开始”->“程序”,双击“启
动”打开启动的文件夹目录,把刚才建立的arp_bind.bat复制到里面去。这样每
次重启都会执行ARP绑定命令,
通过这些设置,就可以很好的防止ARP攻击了。
-
局域网出现“arp欺骗”木马用户无法上网的解决(转)
今天早上朋友单位很多电脑突然无法上网,请我过去看看,到了之后询问之下,
这个情况在多台电脑上出现,并且很多电脑都是XP SP2的系统,而且开启了防火
墙。但仔细观察发现大部分电脑都是开启了文件和打印机共享服务,由于这个服
务开放的137、138、139、445端口正是病毒常用的入侵端口,因此特别需要注意
,如果没必要的话,还是建议别开放,或者在防火墙的设置上关闭这个服务的端
口。
今天出现的部分用户无法上网现象和以前经常遇到的集体瘫痪有所不同,用
sniffer观察一段时间后症状并不明显,联想到现在比较流行的arp欺骗木马就找
了一台无法上网的电脑,运行cmd,输入arp -a发现出现多个地址,并且出现不
同的IP地址对应的MAC是一样的,因此基本确定是中了arp欺骗。
以下说明下处理这种情况的方法:
首先进入命
令行模式
然后运行arp -a命令,该命令是查看当前arp表,可以确认网关和对应的mac地址
arp命令使用详解(4)
正常情况下会出现类似如下的提示:
Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
如果192.168.1.1为网关,那么00-01-02-03-04-05就是网关服务器网卡的MAC地
址,比对这个MAC是否和真的服务器网卡MAC一致,如果不一致就是被欺骗,会造
成用户无法上网。
而被欺骗的电脑可能会出现多个IP出现同样的MAC,出现错乱。这个时候记住要
记下那个网关IP对应的错误MAC地址,这个地址很可能是中了木马的电脑,这个
可以方便接下来的查杀。
确认之后,可以输入arp -d命令,以删除当前计算机的arp表,方便重新建立arp
表。
接下来可以绑定正确的arp网关,输入arp -s 192.168.1.1 00-0e-18-34-0d-56
再用arp -a查看
Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type
192.168.1.1 00-0e-18-34-0d-56 static
这时,类型变为静态(static),就不会再受攻击影响了。
至此这台电脑便可以上网了,不过要彻底解决问题就需要找到那台中木马的电脑
(一般就是那台伪造了网关MAC的对应电脑),对其杀毒之后才可以解决问题,
推荐使用奇虎安全卫士配合木马克星一类的杀木马软件查杀木马,因为很多杀毒
软件都无法发现现在的木马。具体查杀过程还涉及一切系统知识和处理经验,在
此不再详表。
最后介绍一下ARP欺骗类的木马,一般为比较热门游戏的盗号木马;
原理是:
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机
和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器
上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就
会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可
以盗号了。
全面了解APR ARP协议详解
ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络地址(IP
地址32位)转化为物理地址(MAC地址48位)[RFC826]。ARP协议是属于链路层的
协议,在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太
网地址(硬件地址)来确定接口的,而不是根据32位的IP地址。内核(如驱动)
必须知道目的端的硬件地址才能发送数据。当然,点对点的连接是不需要ARP协
议的。
ARP协议的数据结构:
typedefstructarphdr
{
unsignedshortarp_hrd;/*硬件类型*/
unsignedshortar
p_pro;/*协议类型*/
unsignedchararp_hln;/*硬件地址长度*/
unsignedchararp_pln;/*协议地址长度*/
unsignedshortarp_op;/*ARP操作类型*/unsignedchararp_sha[6];/*发送者的硬
件地址*/
unsignedlongarp_spa;/*发送者的协议地址*/
unsignedchararp_tha[6];/*目标的硬件地址*/
unsignedlongarp_tpa;/*目标的协议地址*/
}ARPHDR,*PARPHDR;
为了解释ARP协议的作用,就必须理解数据在网络上的传输过程。这里举一个简
单的PING例子。
假设我们的计算机IP地址是192.168.1.1,要执行这个命令:ping192.168.1.2。
该命令会通过ICMP协议发送ICMP数据包。该过程需要经过下面的步骤:
1、应用程序构造数据包,该示例是产生ICMP包,被提交给内核(网络驱动程序
);
2、内核检查是否能够转化该IP地址为MAC地址,也就是在本地的ARP缓存中查看
IP-MAC对应表;
3、如果存在该IP-MAC对应关系,那么跳到步骤9;如果不存在该IP-MAC对应关系
,那么接续下面的步骤;
4、内核进行ARP广播,目的地的MAC地址是FF-FF-FF-FF-FF-FF,ARP命令类型为
REQUEST(1),其中包含有自己的MAC地址;
5、当192.168.1.2主机接收到该ARP请求后,就发送一个ARP的REPLY(2)命令,
其中包含自己的MAC地址;
6、本地获得192.168.1.2主机的IP-MAC地址对应关系,并保存到ARP缓存中;
7、内核将把IP转化为MAC地址,然后封装在以太网头结构中,再把数据发送出去
;
使用arp-a命令就可以查看本地的ARP缓存内容,所以,执行一个本地的PING命令
后,ARP缓存就会存在一个目的IP的记录了。当然,如果你的数据包是发送到不
同网段的目的地,那么就一定存在一条网关的IP-MAC地址对应的记录。
知道了ARP协议的作用,就能够很清楚地知道,数据包的向外传输很依靠ARP协议
,当然,也就是依赖ARP缓存。要知道,ARP协议的所有操作都是内核自动完成的
,同其他的应用程序没有任何关系。同时需要注意的是,ARP协议只使用于本网
络。
ARP协议的利用和相关原理介绍。
一、交换网络的嗅探
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包
的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓
存中。因此,在上面的假设网络中,B向A发送一个自己伪造的ARP应答,而这个
应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD
-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。
当A接收到B伪造的ARP应答,就会更新本地的ARP缓存,将本地的IP-MAC对应表更
换为接收到的数据格式,由于这一切都是A的系统内核自动完成的,A可不知道被
伪造了。ARP欺骗
的主要用途就是进行在交换网络中的嗅探。有关交换网络的嗅
探不是本文的讨论内容。
二、IP地址冲突
我们知道,如果网络中存在相同IP地址的主机的时候,就会报告出IP地址冲突的
警告。这是怎么产生的呢?
比如某主机B规定IP地址为192.168.0.1,如果它处于开机状态,那么其他机器A
更改IP地址为192.168.0.1就会造成IP地址冲突。其原理就是:主机A在连接网络
(或更改IP地址)的时候就会向网络发送ARP包广播自己的IP地址,也就是
freearp。如果网络中存在相同IP地址的主机B,那么B就会通过ARP来reply该地
址,当A接收到这个reply后,A就会跳出IP地址冲突的警告,当然B也会有警告。
因此用ARP欺骗可以来伪造这个ARPreply,从而使目标一直遭受IP地址冲突警告
的困扰。
三、阻止目标的数据包通过网关
比如在一个局域网内通过网关上网,那么连接外部的计算机上的ARP缓存中就存
在网关IP-MAC对应记录。如果,该记录被更改,那么该计算机向外发送的数据包
总是发送到了错误的网关硬件地址上,这样,该计算机就不能够上网了。
这里也主要是通过ARP欺骗进行的。有两种办法达到这样的目的。
1、向目标发送伪造的ARP应答数据包,其中发送方的IP地址为网关的地址,而
MAC地址则为一个伪造的地址。当目标接收到该ARP包,那么就更新自身的ARP缓
存。如果该欺骗一直持续下去,那么目标的网关缓存一直是一个被伪造的错误记
录。当然,如果有些了解的人查看ARP-a,就知道问题所在了。
2、这种方法非常狠,欺骗网关。向网关发送伪造的ARP应答数据包,其中发送方
的IP地址为目标的IP地址,而MAC地址则为一个伪造的地址。这样,网关上的目
标ARP记录就是一个错误的,网关发送给目标的数据报都是使用了错误的MAC地址
。这种情况下,目标能够发送数据到网关,却不能接收到网关的任何数据。同时
,目标自己查看ARP-a却看不出任何问题来。
四、通过ARP检测混杂模式节点
在混杂模式中,网卡进行包过滤不同于普通模式。本来在普通模式下,只有本地
地址的数据包或者广播(多播等)才会被网卡提交给系统核心,否则的话,这些
数据包就直接被网卡抛弃。现在,混合模式让所有经过的数据包都传递给系统核
心,然后被sniffer等程序利用。
通过特殊设计的ARP请求可以用来在一定程度上检测处于混杂模式的节点,比如
对网络中的每个节点都发送MAC地址为FF-FF-FF-FF-FF-FE的ARP请求。对于网卡
来说这不是一个广播地址(FF-FF-FF-FF-FF-FF),所以处于普通模式的节点就
会直接抛弃该数据包,
但是多数操作系统核心都认为这是一个广播地址,如果有
一般的sniffer程序存在,并设置网卡为混杂模式,那么系统核心就会作出应答
,这样就可以判断这些节点是否存在嗅探器了。
可以查看,很多基于ARP的攻击都是通过ARP欺骗实现的。至于ARP欺骗的防范,
还是尽可能使用静态的ARP。对于WIN,使用arp-s来进行静态ARP的设置。当然,
如果能够完全使用静态的IP+MAC对应,就更好了,因为静态的ARP缓存只是相对
的。
当然,可以有一些方法来实现ARP欺骗的检测。设置一个ARP的嗅探器,其中维护
着一个本地网络的IP-MAC地址的静态对应表,查看所有经过的ARP数据,并检查
其中的IP-MAC对应关系,如果捕获的IP-MAC对应关系和维护的静态对应关系对应
不上,那么就表明是一个欺骗的ARP数据包了。 一个ARP数据包发送程序源代码
和编译好的EXE程序可以参考ARPSender程序。注意:需要先安装WinPcap。
最近一段时间,arp欺骗病毒十分猖獗,经常造成局域网内主机断网。
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表
的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内
网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存
在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无
法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,
让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来
,就是上不了网了,“网络掉线了”。
一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线
。
有经验的网关会利用arp命令来查找发出arp欺骗包的主机,然后采取相应的
措施。但这些都是亡羊补牢的办法,能不能把防范做在前面,让那些中毒的主机
无所作为呢?
其实,cisco也有类似的命令,能够在有arp欺骗的情况下保护网关和其它主
机,使网络得以畅通。
命令格式:
arp IP add mac arpa intID,比如:
arp 10.1.1.222 0000.ac01.2ca9 arpa fastethernet 3/19
它的作用相当于:在快速以太3/19口上,能与它连接的只能是1001.1.222,
mac地址只能是0000.ac01.2ca9 ,其它一律拒绝。
在汇聚和接入交换机之间,通过这第条命令两端互相绑定对端的ip和mac地
址,这样可以防止接入交换机下的pc中毒后发出虚假的arp信息,导致汇聚和接
入交换机之间的通信异常。比如汇聚在请求对端接
入交换机的mac地址时,pc首
先发出了回应也就是以接入交换机的管理ip和自己的(或者伪装的)mac封装了
arp reply那么汇聚的arp表就会出现错误,导致整个接入交换机下的用户无法上
网,这也是一种arp欺骗。利用了上面的命令就可以将汇聚和接入交换机的 arp
条目固化,防止出现上述情况。
同理,在接入层交换机上做出绑定,那么当接入交换机请求目的主机的mac
时,会直接从自己的固化arp表中去查找,而不会再向整个网络发布arp广播,这
样即使有arp欺骗的主机存在,它也不会有向整个网络发难的机会。