常用ARP平台操作系统调试命令

ARP命令一、ARP病毒现在已知的ARP欺骗分为二种，一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

ARP(Address Resolution Protocol，地址解析协议)是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。

第一种ARP欺骗的原理是——截获网关数据。

它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。

它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。

在PC看来，就是上不了网了，―网络掉线了‖。

一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。

而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复。

防范ARP的方法：1、在路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。

有的路由器可以避免网关ARP欺骗，也避免维护网关的路由表。

原理是：为对抗假冒网关的ARP欺骗，采用网关的ARP广播机制，它以一个可选定的频次，向内网宣布正确的网关地址，维护网关的正当权益。

在暂时无法及时清除ARP病毒，网管员还没有做PC上的IP -MAC绑定时，它能在一定程度上维持网络的运行，避免灾难性后果，赢取系统修复的时间。

这就是ARP 主动防范机制。

为了一劳永逸，还是为每台PC做IP-MAC绑定，这样可以彻底避免ARP欺骗。

2、在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。

设置方法：arp –a /*显示现有的ARP表*/arp –d /*删除所有*/arp -s 192.168.0.1 00-17-16-01-79-9b /*静态添加*/二、ARP命令详解显示和修改“地址解析协议(ARP)”缓存中的项目。

arp命令使用详解（1）显示和修改“地址解析协议 (ARP)”缓存中的项目。

ARP 缓存中包含一个或多个表，它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。

计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。

如果在没有参数的情况下使用，则 arp 命令将显示帮助信息。

语法arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]参数-a[ InetAddr] [ -N IfaceAddr]显示所有接口的当前 ARP 缓存表。

要显示特定 IP 地址的 ARP 缓存项，请使用带有InetAddr 参数的 arp -a，此处的 InetAddr 代表 IP 地址。

如果未指定 InetAddr，则使用第一个适用的接口。

要显示特定接口的 ARP 缓存表，请将 -N IfaceAddr 参数与 -a 参数一起使用，此处的 IfaceAddr 代表指派给该接口的 IP 地址。

-N 参数区分大小写。

-g[ InetAddr] [ -N IfaceAddr]与 -a 相同。

-d InetAddr [IfaceAddr]删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。

对于指定的接口，要删除表中的某项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。

要删除所有项，请使用星号 (*) 通配符代替 InetAddr。

-s InetAddr EtherAddr [IfaceAddr]向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。

要向指定接口的表添加静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。

arp命令详解arp命令详解C:\Documents and Settings\Admini>arp /?Displays and modifies the IP-to-Physical address translation tablesused byaddress resolution protocol (ARP).ARP -s inet_addr eth_addr [if_addr]ARP -d inet_addr [if_addr]ARP -a [inet_addr] [-N if_addr]-a Displays current ARP entries by interrogating thecurrentprotocol data. If inet_addr is specified, the IP andPhysicaladdresses for only the specified computer aredisplayed. Ifmore than one network interface uses ARP, entries foreach ARPtable are displayed.-g Same as -a.inet_addr Specifies an internet address.-N if_addr Displays the ARP entries for the network interface specifiedby if_addr.-d Deletes the host specified by inet_addr. inet_addr maybewildcarded with * to delete all hosts.-s Adds the host and associates the Internet addressinet_addrwith the Physical address eth_addr. The Physicaladdress isgiven as 6 hexadecimal bytes separated by hyphens. The entryis permanent.eth_addr Specifies a physical address.if_addr If present, this specifies the Internet address of the interface whose address translation table should bemodified.If not present, the first applicable interface will beused.Example:> arp -s 157.55.85.212 00-aa-00-62-c6-09 .... Adds a static entry.> arp -a .... Displays the arptable.显示和修改IP到物理地址转换表的使用地址解析协议（ARP）。

arp命令的基本用法
arp命令的功能及使用方法：arp -a IP 显示与该接口ARP缓存项目、arp -d IP 是使用本命令能够人工删除一个静态项目、arp -s IP 物理地址、我们可以向ARP高速缓存中人工输入一个静态项目。

1、arp -a IP 是查看显示借口的ARP缓存的项目。

2、arp -d IP 能够人工删除一个静态项目。

比如：我们在命令提示符下，我们使用过Ping 命令测试并验证从这台计算机到IP 地址为10.0.0.123 的主机的连通性，然后再键入Arp -a，则ARP 缓存显示。

在此例中，缓存项指出位于10.0.0.123 的远程主机解析成00-e0-98-00-7c-dc 的媒体访问控制地址，它是在远程计算机的网卡硬件中分配的。

至此我们可以用ipconfig和ping命令来查看自己的网络配置并判断是否正确、可以用netstat查看别人与我们所建立的连接并找出ICQ 使用者所隐藏的IP信息、可以用arp查看网卡的MAC地址。

3、arp -s IP 物理地址
我们可以向ARP高速缓存中人工输入一个静态项目。

该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。

ARP是一个重要的TCP/IP协议，并且用于确定对应IP地址的网卡物理地址。

实用arp 命令，我们能够查看本地计算机或另一台计算机的ARP高速缓存中的当前内容。

此外，使用arp命令，也可以用人工方式输入静态的网卡物理/IP地址对，我们可能会使用这种方式为缺省网关和本地服务器等常用主机进行这项作，有助于减少网络上的信息量。

按照缺省设置，ARP高速缓存中的项目是动态的，每当发送一个指定地点的数据报且高速缓存中不存在当前项目时，ARP便会自动添加该项目。

一旦高速缓存的项目被输入，它们就已经开始走向失效状态。

例如，在Windows NT/2000网络中，如果输入项目后不进一步使用，物理/IP地址对就会在2至10分钟内失效。

因此，如果ARP高速缓存中项目很少或根本没有时，请不要奇怪，通过另一台计算机或路由器的ping命令即可添加。

所以，需要通过arp命令查看高速缓存中的内容时，请最好先ping 此台计算机（不能是本机发送ping命令）。

语法:arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]参数:-a[ InetAddr] [ -N IfaceAddr]:显示所有接口的当前ARP 缓存表。

要显示特定IP 地址的ARP 缓存项，请使用带有InetAddr 参数的arp -a，此处的InetAddr 代表IP 地址。

如果未指定InetAddr，则使用第一个适用的接口。

要显示特定接口的ARP 缓存表，请将-N IfaceAddr 参数与-a 参数一起使用，此处的IfaceAddr 代表指派给该接口的IP 地址。

-N 参数区分大小写。

-g[ InetAddr] [ -N IfaceAddr]:与-a 相同。

-d InetAddr [IfaceAddr]: 删除指定的IP 地址项，此处的InetAddr 代表IP 地址。

windows arp命令的参数用法举例ARP命令是一种用于显示和修改本地ARP缓存表的Windows命令行工具。

它可以显示和管理由操作系统维护的IP地址和物理地址之间的映射关系。

以下是一些常用的ARP命令参数用法举例：1. arp -a：此命令显示当前计算机ARP缓存中的所有条目。

例如：(以下是示例输出)接口: 192.168.1.96 --- 0xaInternet 地址物理地址类型192.168.1.1 aa-bb-cc-dd-ee-ff 动态192.168.1.100 aa-bb-cc-dd-ee-ff 动态2. arp -d <IP地址>：此命令用于删除指定IP地址的ARP缓存条目。

例如：要删除IP地址为192.168.1.1的条目，可能使用如下命令：arp -d 192.168.1.13. arp -s <IP地址> <物理地址>：此命令用于添加ARP缓存表项。

例如：要将IP地址为192.168.1.2的物理地址设置为aa-bb-cc-dd-ee-ff，可能使用如下命令：arp -s 192.168.1.2 aa-bb-cc-dd-ee-ff4. arp -g <网关IP地址>：此命令用于获取指定网关IP地址的物理地址。

例如：要获取网关IP地址为192.168.1.1的物理地址，可能使用如下命令：arp -g 192.168.1.15. arp -n：此命令显示当前计算机ARP缓存中的所有条目，但不解析IP地址为主机名。

使用此选项可以快速查看ARP缓存的内容，而不用等待主机名解析。

例如：arp -n接口: 192.168.1.96 --- 0xaInternet 地址物理地址类型192.168.1.1 aa-bb-cc-dd-ee-ff 动态192.168.1.100 aa-bb-cc-dd-ee-ff 动态以上是一些常用的ARP命令的参数用法举例。

ARP 命令详解ARp（地址转换协议）的使用技巧ARp是一个重要的TCp/Ip协议，并且用于确定对应Ip地址的网卡物理地址。

实用arp 命令，我们能够查看本地计算机或另一台计算机的ARp高速缓存中的当前内容。

此外，使用arp命令，也可以用人工方式输入静态的网卡物理/Ip地址对，我们可能会使用这种方式为缺省网关和本地服务器等常用主机进行这项作，有助于减少网络上的信息量。

按照缺省设置，ARp高速缓存中的项目是动态的，每当发送一个指定地点的数据报且高速缓存中不存在当前项目时，ARp便会自动添加该项目。

一旦高速缓存的项目被输入，它们就已经开始走向失效状态。

例如，在Windows NT/2000网络中，如果输入项目后不进一步使用，物理/Ip地址对就会在2至10分钟内失效。

因此，如果ARp高速缓存中项目很少或根本没有时，请不要奇怪，通过另一台计算机或路由器的ping命令即可添加。

所以，需要通过arp命令查看高速缓存中的内容时，请最好先ping 此台计算机（不能是本机发送ping命令）。

ARp常用命令选项：·arp -a或arp –g 用于查看高速缓存中的所有项目。

-a和-g参数的结果是一样的，多年来-g一直是UNIX平台上用来显示ARp高速缓存中所有项目的选项，而Windows用的是arp -a（-a可被视为all，即全部的意思），但它也可以接受比较传统的-g选项。

·arp -a Ip 如果我们有多个网卡，那么使用arp -a加上接口的Ip地址，就可以只显示与该接口相关的ARp缓存项目。

·arp -s Ip 物理地址我们可以向ARp高速缓存中人工输入一个静态项目。

该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。

·arp -d Ip 使用本命令能够人工删除一个静态项目。

例如我们在命令提示符下，键入Arp –a；如果我们使用过ping 命令测试并验证从这台计算机到Ip 地址为10.0.0.99 的主机的连通性，则ARp 缓存显示以下项：Interface:10.0.0.1 on interface 0x1 Internet Address physical Address Type 10.0.0.9900-e0-98-00-7c-dc dynamic在此例中，缓存项指出位于10.0.0.99 的远程主机解析成00-e0-98-00-7c-dc 的媒体访问控制地址，它是在远程计算机的网卡硬件中分配的。

13常见ARP操作关于本章介绍ARP的常见操作。

13.1 查看ARP表项13.2 刷新ARP表项13.3 配置ARP老化时间13.4 配置静态ARP表项13.5 配置ARP代理13.6 屏蔽基于源IP地址的ARP Miss告警13.7 配置动态ARP检测（DAI）13.8 配置ARP防网关冲突13.1 查看ARP表项在日常维护工作中，用户可以在任意视图下执行display arp相关命令，查看设备上的ARP表项信息。

通过在网关设备上查看ARP表项，网络管理员可以查看下挂用户的IP地址、MAC地址和接口等信息。

例如，当网络管理员知道某个用户的IP地址，想查询该用户的MAC地址时，可以通过查看ARP表项信息获取。

当网关设备上没有学习到下挂用户的IP地址时，可以在网关设备上ping该网段的广播地址。

例如网关的IP地址为10.10.10.1/24，在网关设备上ping 10.10.10.255，同一网段的用户会发送ARP应答报文，网关设备收到ARP应答报文后即能学习到用户的IP地址。

# 查看设备上172.16.0.0/16网段的ARP表项。

<HUAWEI> display arp network 172.16.0.0 16IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCEVLAN/CEVLAN------------------------------------------------------------------------------172.16.10.3 0025-9efb-be55 S-- GE1/0/6100/-172.16.20.3 0200-0000-00e8 S-- GE1/0/19172.16.10.1 0025-9ef4-abcd I -Vlanif100172.16.10.2 0025-9efb-be55 20 D-0 GE1/0/6100/-172.16.20.1 0025-9ef4-abcd I - GE1/0/19172.16.20.2 0200-0000-00e8 18 D-0 GE1/0/19------------------------------------------------------------------------------Total:6 Dynamic:2 Static:2 Interface:2上述回显中，每行ARP表项的具体含义如下：l IP地址为172.16.10.3，MAC地址为0025-9efb-be55，TYPE字段为S（代表该ARP表项为静态ARP表项）。