windows 永久绑定arp
【来源:小鸟云计算】
Ps.小鸟云,国内专业的云计算服务商
1、获取IDX值。
C:\Users\gh>netsh i i show in
Idx Met MTU 状态名称
--- ---------- ---------- ------------ ---------------------------
1 50 4294967295 connected Loopback Pseudo-Interface 1
11 20 1500 connected 本地连接
21 20 1500 connected VMware Network Adapter VMnet1
22 20 1500 connected VMware Network Adapter VMnet8 25 10 1500 connectedVirtualBox Host-Only Network
2、添加操作命令:netsh -c "i i" add ne 11 192.168.50.1 3c-46-d8-63-24-a3
删除操作命令:netsh -c "i i" delete neighbors 11 (绑定的全部删除)
3、查看是否成功
C:\Users\gh>arp -a
接口: 192.168.50.62 --- 0xb
Internet 地址物理地址类型192.168.50.1 3c-46-d8-63-24-a3 静态192.168.50.254 00-00-74-fd-ca-e0 动态
静态绑定网关MAC 简单方法:手工绑定: (1).确定用户计算机所在网段 (2).查出用户网段网关IP (3).根据网关IP查出用户网段网关Mac,本地查询: (4).用命令arp -s 网关IP 网关MAC静态绑定网关IP和MAC 举例: (1).确定用户计算机所在网段 开始->程序->附件->命令提示符,打开命令提示符窗口,输入ipconfig命令,查出用户正常分配到的IP地址: 本机IP: 10.13.2.62 网关IP: 10.13.2.254 (2).IP为10.13.3.254 的网关的MAC地址为00-0b-46-01-01-00 (4).在命令提示符窗口中输入以下命令 arp –d //清空ARP缓存 arp -s 10.13.2.254 00-0b-46-01-01-00 //静态绑定网关MAC地址arp –a //查看ARP缓存记录
=============================================== 由于手工绑定在计算机关机重启后就会失效,需要再次重新绑定 可以采用批处理的方式,完成上述步骤,同时使之开机运行即可 使用arp命令静态绑定网关MAC,格式如下: arp -s 网关IP 网关MAC 如果觉得每次手动输入比较复杂,您可以编写一个简单的批处理文件然后让它每次开机时自动运行, 批处理文件如下: ----------------------------------- @echo off echo 'arp set' arp -d arp -s 网关IP 网关MAC exit ------------------------------------
ARP静态绑定批处理文件脚本详细讲解 网上流传了很多对付ARP欺骗的批处理脚本,本文是对比较流行的一个脚本加以注释和讲解,希望对广大51CTO网友和网管员有用。 网上流传了很多对付ARP欺骗的批处理脚本,本文是对比较流行的一个脚本加以注释和讲解,希望对广大51CTO网友和网管员有用。原批处理文件如下: @echo off if exist ipconfig.txt del ipconfig.txt ipconfig /all >ipconfig.txt if exist phyaddr.txt del phyaddr.txt find "Physical Address" ipconfig.txt >phyaddr.txt for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M if exist IPAddr.txt del IPaddr.txt find "IP Address" ipconfig.txt >IPAddr.txt for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I arp -s %IP% %Mac% del ipaddr.txt del ipconfig.txt del phyaddr.txt exit 现在以//开头的为我的解释 @echo off //关闭命令回显
if exist ipconfig.txt del ipconfig.txt //如果存在ipconfig.txt 这个文件就对其进行删除 ipconfig /all >ipconfig.txt //把ipconfig /all 命令的显示结果写入ipconfig.txt if exist phyaddr.txt del phyaddr.txt //如果存在phyaddr.txt 这个文件就对其进行删除 find "Physical Address" ipconfig.txt >phyaddr.txt //在ipconfig.txt 文件里查找Physical Address 字段的内容并将其字段内容写入phyaddr.txt for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M //在phyaddr.txt 文件中从第一行象下跳两行,也就是从第三行开始,从第12个符号处取值,并把该值设置成MAC 变量,举个例子:Physical Address. . . . . . . . . : 00-E0-FC-0C-A8-4F,每一个连续的数值为一个符号 符号1:Physical 符号2:Address. 符号3:. 符号4:. 符号5:. 符号6:. 符号7:. 符号8:. 符号9:.
ARP绑定网关及批处理 一.WINDOWS下绑定ARP绑定网关 步骤一: 在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MA C地址,并将其记录下来。 注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。 步骤二: 如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。 要想手工绑定,可在MS-DOS窗口下运行以下命令: arp -s 网关IP 网关MAC 例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下: Cocuments and Settings>arp -a Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 dynamic 其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。 被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。 手工绑定的命令为: arp -s 192.168.1.1 00-01-02-03-04-05 绑定完,可再用arp -a查看arp缓存: Cocuments and Settings>arp -a Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 static 这时,类型变为静态(static),就不会再受攻击影响了。 但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。作批处理文件 在客户端做对网关的arp绑定,具体操作步骤如下: 步骤一: 查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。 比如:网关192.168.1.1 对应00-01-02-03-04-05。 步骤二: 编写一个批处理文件rarp.bat,内容如下:
图解ASA防火墙上进行ARP绑定(图) 目前我公司使用的网络全是静态IP地址,在公司里面有一台ASA5505防火墙,应领导要求,在该防火墙上面要限制某部份用户不能使用某些应用(如QQ农场等),而领导的计算机不做任何限制。为了实现这些功能,我们需要在ASA 5505防火墙上面做ARP绑定,然后再使用访问控帛列表来对这些IP地址与MAC地址进行限制。具体配置很简单,那么下面就带大家一起来看看如何在ASA 5500防火墙上面配置ARP绑定呢? 很简单的几条命令,我们就实现将下面PC的IP地址与MAC地址进行绑定了。下面我们来测试一下看看。刚才上面的IP地址与MAC地址是我笔记本无线网卡的IP地址与MAC地址(如下图)。 我们ping 192.168.0.199(防火墙内网接口地址)看看能否正常通信。
从上图我们可以看见,通过我们的无线网卡能够正常的去与我们防火墙内部接口正常通信。那么下面我将我无线网卡上面的IP地址换至有线网卡上面再测试,这样我有线网卡的MAC地址就不能与防火墙上面设置的MAC 地址匹配(如下图)。 那么我们现在再来看看能不能正常进行通信呢(如下图) 从这里我们可以很明显的看见,他不能与我们防火墙进行通信,而这样就已经实现了IP地址与MAC地址对应以后才能正常通过防火墙出去。但是这样有一点我们大家很容易忽略的,就是我们只将我们需要用的地址进行IP与MAC绑定,而其他没有用的就没有绑,那么人有使用没有绑定IP地址与MAC地址的IP去访问互联网,是能够正常出去的。下面我们来试试,我现在将我的IP地址改成192.168.0.2,这个IP地址在我当前的网络中是没有使用的,在防火墙上面也没有对该IP地址进行MAC地址绑定。 这时候我们再ping一下防火墙的内网接口地址看看能否正常通信呢?
通过NETSH命令解决网卡ARP学习不正常的案例 设备配置: 服务器端双网卡配置,ETH0 IP 192.168.8.253 255.255.255.0;ETH1 IP 10.3.0.8 255.255.255.0。所接设备为三台基站设备(服务器到基站由于传输需要经过两台交换机,一对光电转换),IP地址分别为192.168.8.112、192.168.8.113、192.168.8.114。服务器及基站均为静态固定IP。 故障表现: 网卡正常工作一段时间后,三台基站会相继掉线(三台基站不是同时掉),通过抓包软件,发现服务器能收到基站的广播包,但无法PING通,服务器运行arp -a 发现ETH0 网卡ARP表中丢失基站的映射信息。 通过常规手段在服务器运行ARP –S 192.168.8.X XX-XX-XX-XX-XX-XX后,提示命令无法执行。 故障分析: 重启基站/交换机后,基站与服务器能PING通,但过段时间后,仍会相断掉线,排除是基站设备和交换机的问题导致。故障定位于服务器所接网卡问题,但目前仍无得出是什么问题导致网卡的ARP学习不正常。 故障排除: 在服务器上运行命令netsh I I show in得到192.168.8.253所在的网卡IDX号 如图所示,ETH0所对应的IDX 为11 新建一个批处理文件导入服务器启动项,编辑以下信息并保存后,重启服务器 netsh -c "i i" add neighbors 11 192.168.8.112 基站MAC地址(格式为XX-XX-XX-XX-XX-XX)netsh -c "i i" add neighbors 11 192.168.8.113基站MAC地址(格式为XX-XX-XX-XX-XX-XX)netsh -c "i i" add neighbors 11 192.168.8.114基站MAC地址(格式为XX-XX-XX-XX-XX-XX)
win7 下用arp命令绑定IP和MAC地址,提示“ARP 项添加失败: 拒绝访问”的解决方法。 在win7中,就算是用管理员登录了系统,运行程序的时候默认是只有普通权限的,要在CMD命令命口系统中进行一些重要的系统设置必须要以管理员的身份运行"CMD"程序。 在以前的WINDOWS系列系统中,都可以直接执行arp -s 命令绑定IP和MAC地址,但是在Win7下如果不是以管理员身份运行时会提示:“ARP 项添加失败:请求的操作需要提升。”注意窗口标题栏是没有管理员字样的。 以管理员身份运行CMD命令提示符是会显示管理员字样 但是就算以管理员身份运行也会提示错误信息“ARP 项添加失败: 拒绝访问。” (英文版提示:The ARP entry addition failed:Access is denied. )。 Win7下绑定IP和MAC地址操作和XP有所差别,Win7用户这时候就需要用netsh命令了。具体操作如下: 1、CMD中输入:netshii show in
然后找到“本地连接”对应的“Idx” (我的是“22”,下面neighbors后面的数字跟这里一致。) 2、下面在CMD输入:netsh -c "ii" add neighbors 22 “网关IP” “Mac地址“,这里22是idx号。注册前面"ii"的双引号是英文状输入,后面网关和MAC地址是不用双引号的。 ok,搞定! 再arp -a看看是不是已经绑定好了? 同理,在Win7上用arp -d并不能完全的删除绑定,必须使用netsh -c "ii" delete neighbors IDX(IDX 改为相应的数字)才可删除MAC地址绑定。 总结: 1、使用arp -a 命令查看网关的MAC网卡物理地址 2、使用netshii show in 命令查看本地连接的idx编号 3、使用netsh -c "ii" add neighbors 本地连接的idx “网关IP” “网关mac” 命令绑定 4、使用arp -a 查看结果
关于ARP欺骗/攻击反复袭击,是近来网络行业普遍了解的现象,随着ARP攻击的不断升级,不同的解决方案在市场上流传。看了一下网上的案例,对于小型局域网或家庭网络的解决方案还是挺少的,也不完整。要么就是推荐购买设备,或者是安装某个杀毒软件。今天我来写一个关于仅针对个人PC比较常用的处理手段/服务器也可以这么做,防范于未然嘛,常在网上漂,哪有不挨刀! 首先介绍一下什么是ARP攻击/欺骗,一般计算机中的原始的ARP协议,很像一个思想不坚定,容易被其它人影响的人,ARP欺骗/攻击就是利用这个特性,误导计算机作出错误的行为。ARP攻击的原理,互联网上很容易找到,这里不再覆述。原始的ARP协议运作,会附在局域网接收的广播包或是ARP询问包,无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人,听了每一个人和他说话都信以为真,并立刻以最新听到的信息作决定。 就像一个没有计划的快递员,想要送信给"张三",只在马路上问"张三住那儿?",并投递给最近和他说"我就是"或"张三住那间",来决定如何投递一样。在一个人人诚实的地方,快递员的工作还是能切实地进行;但若是旁人看快递物品值钱,想要欺骗取得的话,快递员这种工作方式就会带来混乱了。 我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见ARP攻击对象有两种,一是网络网关,也就是路由器,二是局域网上的计算机,也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员,让快递员整个工作大乱,所有信件无法正常送达;而攻击一般计算机就是直接和一般人谎称自己就是快递员,让一般用户把需要传送物品传送给发动攻击的计算机。 主讲局域网上的计算机如何应对ARP攻击,最简单、实用的方法,也欢迎大家指点指点经验!下面拿一个我的实例来讲,了解ARP的严重性: 某高速缴费查询系统服务器,由于防火墙已使用长达8年,在更换掉新防火墙之后,三天内服务器频繁出现连接不上,直到服务器出现死机、自动重启客户给我打电话告知情况,瑞星杀毒提示14小时内不间断遭受到ARP欺骗。直接断定,一、服务器本身做有对原防火墙的网关MAC地址绑定,或者从防火墙到服务器之间的其它网络设备有MAC地址绑定/设备ARP表更新不正常;二、局域网内的其它服务器可能中了ARP病毒;说起来现在的甲方管理人员连自己网络设备的管理密码都不知道,我五体投地了,跪拜了。我无法查看三层交换的ARP地址表,只能查看防火墙的攻击事件,无任何异常。我的处理方式直接在服务器上做静态网关MAC绑定,我查看了攻击事件的详细信息,发起攻击冲突的MAC地址进行厂
H3C路由MAC绑定 2008-11-17 10:09 5.2.23 dhcp server static-bind 【命令】 dhcp server static-bind ip-address ip-address { mac-address mac-address | client-identifier client-identifier } undo dhcp server static-bind { ip-address ip-address | mac-address mac-address | client-identifier client-identifier } 【视图】 接口视图 【参数】 ip-address:静态绑定的IP 地址。必须是当前接口地址池中的合法IP 地址。mac-address:静态绑定的MAC 地址。 client-identifier:待绑定的主机ID。 【描述】 dhcp server static-bind 命令用来配置当前接口的DHCP 地址池中地址的静态绑 定,undo dhcp server static-bind 命令用来删除配置。 缺省情况下,接口地址池中没有配置静态地址捆绑。 在一个接口的所有静态绑定中,IP 地址和MAC 地址/identifier 必须是唯一的。 【举例】 # 将MAC 地址为0000-e03f-0305 与IP 地址10.1.1.1 进行静态绑定。 [H3C-GigabitEthernet1/0] dhcp server static-bind ip-address 10.1.1.1 mac-address 0000-e03f-0305 详见H3C AR 18-63-1路由器命令手册(V1.01)第391页 2.1.2 arp fixed (要先进入系统模式SYS) 【命令】 arp fixed ip-address mac-address (4位一组) undo arp ip-address (清除已绑的IP) dis arp (查看所以IP情况) arp fixup (绑定所有的IP,一次性) 【视图】 系统视图 【参数】 ip-address:为ARP 映射项的IP 地址,为点分十进制格式。 mac-address:ARP 映射项的以太网MAC 地址,格式为H-H-H。 【描述】 arp fixed 命令用来配置ARP 映射表。undo arp 命令用来取消ARP 映射表中对
ARP绑定的意义 ARP协议是―Address Resolution Protocol‖(地址解析协议)的缩写。在局域网中,网络中实际传输的是―帧‖,帧里面是有目标主机的MAC地址的。在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓―地址解析‖就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 ARP协议主要负责将局域网中的32位IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址位192.168.0.1网卡MAC地址为 00-03-0F-FD-1D-2B.整个转换过程是一台主机先向目标主机发送包含有IP地址和MAC地址的数据包,通过MAC地址两个主机就可以实现数据传输了. 在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC 地址是一一对应的,如附表所示。 附表 我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是―FF.FF.FF.FF.FF.FF‖,这表示向同一网段内的所有主机发出这样的询问:―192.168.1.1的MAC地址是什么?‖网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:―192.168.1.1 的MAC地址是00-aa-00-62-c6-09‖。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过―ARP欺骗‖手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。 RARP的工作原理: 1. 发送主机发送一个本地的RARP广播,在此广播包中,声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址; 2. 本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC 地址对应的IP地址; 3. 如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用;
我们一般遇到攻击都会登陆winbox再利用winbox自带的工具torch来查看局域网内哪个IP发的数据比较大或包比较多来判断。。 这个我就不多说了。。论坛里有N多这方面的教程。。我这里只发一个图。
ROS IP+MAC绑定,流量控制终极设置! 用winbox登进去,ip-arp ,这时你会看到很多ip和mac地址,每一行前面还有一个D字的,你双击一个然后在它弹出框框里按tools会有一个copy 按了以后又出一个框框,然后按OK就行啦,这时你会发现这个ip前面的D 字不见的啦,绑定完毕 MAC地址+IP绑定...防止内网用户乱改IP.... 打开WINBOX...点击IP---ARP: 弹出ARP LIST的菜单,......这菜单显示当前内网在线主机的MAC IP信息....双击其中一个用户点击COPY....再点击OK...建立该用户的ARP记录.
再点击INTERFACE .....双击内网网卡LAN......在ARP选项中选择REPL Y-ONLY...意思是:绑定了的用户才能上网 在路由器上对所有工作站进入MAC绑定(以ros2.96为例)。 使用Ros2.9.6以上的版本做路由,2.90以下的不能绑定。 绑定方法: 1、用winbox进入ROS管理界面。 2、单击System→Script,出现“Script List”窗口。 3、单击“+”如图1所示处。 捆定MAC地址是为了防ARP攻击.进ROS后,system-scripts增加个(new script)在source中增上下列语句(红色部分)-OK-Run Script即可 自动扫描加入ip-arp :foreach i in [/ip arp find dynamic yes ] do={/ip arp add copy-from $i} 取消绑定 :foreach i in [/ip arp find] do={/ip arp remove $i}
DHCP服务器静态地址分配与静态ARP绑定到底有什么不同 2012-07-29 23:11:45| 分类:计算机与Internet | 标签:计算机 dhcp 路由器静态地址带宽控制|举报|字号订阅以下仅为个人愚见,有些观点未测试,仅为推测,如有不妥欢迎指正。 以下省略具体操作步聚,仅陈述相关问题。 首先说一下静态地址,使用路由器上网时,开启DHCP,电脑也是可以指定使用静态ip地址的,而关闭DHCP时则必须使用静态ip地址。 在开启DHCP时,如果你给电脑指定一静态ip会发生几种情况: 一、此指定ip与先上网自动通过DHCP获取动态ip的另一台电脑获得的ip相同,此时会造成ip地址冲突,结果你懂的(要修改自己的静态ip)
二、没有发生第一种情况,但能登QQ却不能浏览网页,why?原因是你没有在自己电脑上指定DNS服务器ip地址,有人会说,我不设置静态ip时也没指定DNS啊,(猜想)那是指定静态ip,ip和DNS都是自动获取的,而当你指定静态ip时,DNS也设置为手动指定了,如果不指定DNS服务器的ip,你访问网页时就不能访将网址解析成对应ip(其实此时部分网站可以用其该域名绑定的ip访问),解决办法:只要手动填入DNS(如上图)就行了。使用此https://www.doczj.com/doc/c117137615.html,/p/namebench/downloads/list 工具可以帮你找到最快的dns。 那么,对于第一种情况,就引出了今天要讲的话题:DHCP服务器静态地址分配与静态ARP绑定到底有什么不同?
简单的说就是: DHCP服务器“静态地址分配”是保留此ip给你的网卡,不会自动分配给别人((猜想)别人手动指定此ip应该也是可以上网的,这与下面讲到的静态ARP绑定就不一样),此时如果你指定自己电脑的静态ip为该ip,就不用担心你的ip会和别人的冲突了,但并不表示你非得使用此ip上网,如果你指定或者使用自动获取而得到其它ip,也是可以上网的。 而看上去好像和DHCP服务器静态地址分配很类似的静态ARP绑定又是怎么回事? 这个就更“狠”了,绑定后,你电脑上必须指定为该静态ip才能上网,指定或自动获取为其它ip就断网了(连路由器192.168.1.1也打开不了了),而且别人如果指定为此ip也上不了网。
S9303上ARP绑定操作指导 1.查看S9303上ARP映射表,操作如下:
语法 arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]] 参数 -a[ InetAddr] [ -N IfaceAddr] 显示所有接口的当前 ARP 缓存表。要显示特定 IP 地址的 ARP 缓存项,请使用带有 InetAddr 参数的 arp -a,此处的 InetAddr 代表 IP 地址。如果未指定 InetAddr,则使用第一个适用的接口。要显示特定接口的 ARP 缓存表,请将 -N IfaceAddr 参数与 -a 参数一起使用,此处的 IfaceAddr 代表指派给该接口的 IP 地址。-N 参数区分大小写。 -g[ InetAddr] [ -N IfaceAddr] 与 -a 相同。 -d InetAddr [IfaceAddr] 删除指定的 IP 地址项,此处的 InetAddr 代表 IP 地址。对于指定的接口,要删除表中的某项,请使用 IfaceAddr 参数,此处的IfaceAddr 代表指派给该接口的 IP 地址。要删除所有项,请使用星号 (*) 通配符代替 InetAddr。
-s InetAddr EtherAddr [IfaceAddr] 向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接口的IP 地址。 /? 在命令提示符下显示帮助。 注释 ? InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。 ? EtherAddr 的物理地址由六个字节组成,这些字节用十六进制记数法表示并且用连字符隔开(比如,00-AA-00-4F-2A-9C)。 arp命令 处理系统的 ARP 缓存,可以清除缓存中的地址映射,建立新的地址映射; 语法:arp [-v][-n][-H type][-i if] -a [hostname] arp [-v][-i if] -d hostname [pub] arp [-v][-H type][-i if] -s hostname hw_addr [temp] arp [-v][-H type][-i if] -s hostname hw_addr [netmask nm] pub arp [-v][-H type][-i if] -Ds hostname ifa [netmask nm] pub arp [-v][-n][-D][-H type][-i if] -f
TP-LINK路由器设置IP与Mac绑定防止ARP欺骗 一、TP-LINK家用路由器设置防止ARP欺骗前的准备工作 设置IP和MAC绑定功能,先把电脑手动设定静态IP地址,若为动态获取,电脑可能就会获取到和IP与MAC绑定条目不同的IP,这样就会导致通信异常。 1、先吧TP-LINK家用路由器的DHCP功能关闭:打开TP-LINK家用路由器的管理面,“DHCP服务器”—“DHCP服务”,把状态由默认的“启用”更改为“不启用”,然后保存并重启路由器。 2、手工指定电脑的IP地址、网关、DNS服务器地址,如果不知道DNS地址的话,可以向你的网络服务商咨询。 二、设置TP-LINK家用路由器防止ARP欺骗 打开TP-LINK家用路由器的管理界面,在左侧的菜单中我们可以看到: “IP与MAC绑定”,在该项中来设置IP和MAC绑定 打开“静态ARP绑定设置”窗口如下: 这需要提醒注意的是:默认情况下载ARP绑定功能是关闭的,所以我们需要选中启用后,点击保存来启用。 在添加IP与MAC地址绑定的时候,可以通过手工来进行条目的添加,也可通过“ARP映射表”来查看IP与MAC地址的对应关系,然后通过导入后来进行绑定。 1、手工进行添加,单击“增加单个条目” 填入电脑的MAC地址与对应的IP地址后单击保存,即可实现IP与MAC地址绑定。 2、通过“ARP映射表”,导入条目进行绑定方法: 打开“ARP映射表"窗口如下: 这是TP-LINK家用路由器动态学习到的ARP表,我们可以看到状态这一栏显示”未绑定“。
如果确认这一个动态学习的表正确无误,也就是说当时网络中不存在ARP欺骗,把条目导入,并且保存为静态表。 如果存在许多电脑的话,可以点击"全部导入",就可自动导入所有电脑的IP与MAC信息。 在导入成功以后,即可完成IP于MAC绑定的设置。如下图: 在图中我们可以看到站台中显示为已绑定,此时TP-LINK家用路由器就已经具备了防止ARP欺骗的功能。 然后返回到"ARP映射表"中我们就可以看到,电脑的IP地址与MAC地址已经绑定,在重启TP-LINK家用路由器后,该条目仍然生效。 三、设置电脑防止ARP欺骗 在设置好TP-LINK家用路由器端的ARP欺骗以后,接下来就要开始设置电脑端的ARP绑定。因为电脑的操作系统都带有ARP欺骗命令行程序,所以我们可以在其命令提示符界面来进行配置。 Windows XP系统配置方法: 点击"开始",选择"运行",输入"cmd",即可打开Windows的命令提示符 然后通过"arp-s路由器的IP+路由器MAC"这一条命令来实现对TP-LINK家用路由器的ARP 条目的静态绑定,如输入:arp –s 192.168.1.1 00-0a-eb-d5-60-80,然后通过arp -a 命令输出,可以看到已经有了我们刚才添加的条目,Type类型为static表示是静态添加的。至此,我们也已经设置了电脑的静态ARP条目,这样电脑发送到路由器的数据包就不会发送到错误的地方去了。 TP-LINK家用路由器MAC地址查看方法:打开TP-LINK家用路由器的管理界面,进入"网络参数"--"LAN口设置"即可看到。 在图中看到的路由器LAN口的MAC地址就是电脑的网关的MAC地址。 为了方便大家在每次电脑重启以后不在手工输入上面的命令来实现防止ARP欺骗,我们可
使用ARP命令来绑定IP和MAC地址 【导读】作为企业级的路由防火墙,ISA Server并没有提供对于MAC地址的控制功能。不过,你可以使用Windows的命令ARP来实现IP地址和MAC地址的绑定。这篇文章介绍了Windows下ARP协议工作的原理,以及如何使用ARP命令来静态绑定IP地址和MAC 地址。 ISA Server中没有提供对于MAC地址的控制功能,Why?这是因为MAC地址只能在本地网络中使用,当数据包跨越路由器时,数据包中主机的源MAC地址就会被路由器的出站接口的MAC地址所代替,这个时候,使用MAC地址来进行控制就不适用了。所以只要是企业级的硬件或者软件防火墙,都基本没有提供对MAC地址的控制功能。 在Windows中,如果你安装了TCP/IP网络协议组件,那么你就可以执行命令ARP。ARP命令的作用是 查看本机的ARP缓存、静态绑定IP地址和MAC地址和删除静态绑定项。其实绑定IP地址和MAC地址的本意是为了减少ARP广播流量,只是可以利用这一功能来控制IP地址的使用。 ARP协议(Address Resolve Protocol,地址解析协议)工作在TCP/IP协议的第二层-数据链路层,用于将IP地址转换为网络接口的硬件地址(媒体访问控制地址,即MAC地址)。 无论是任何高层协议的通讯,最终都将转换为数据链路层硬件地址的通讯。 每台主机都具有一个用于缓存MAC地址的ARP缓存列表,你可以使用命令ARP -a或ARP -g来查看当前的ARP缓存列表。此ARP缓存列表是动态更新的,默认情况下,当其中的缓存项超过两分钟没有活动时,此缓存项就会超时被删除。你可以使用ARP -s来静态绑定IP地址和MAC地址,不过在Windows server 2003和XP以前的Windows系统中,就算你设置了静态MAC地址绑定项,同样会通过接收其他主机的数据包而更新已经绑定的项。 在Windows server 2003和XP中,静态绑定的项不会被动态更新,直到TCP/IP协议终止为止,例如重启计算机。 如果要创建永久的静态MAC地址绑定项,你可以写一个脚本文件来执行ARP静态绑定,然后使用计划 任务在启动计算机时执行该脚本即可。 例如A主机的IP地址为192.168.0.1,它现在需要与IP为192.168.0.8的主机(主机B)进行通讯,那么 将进行以下动作: A主机查询自己的ARP缓存列表,如果发现具有对应于目的IP地址192.168.0.8的MAC地址项,则直接使用此MAC地址项构造并发送以太网数据包,如果没有发现对应的MAC地址项则继续下一步; A主机发出ARP解析请求广播,目的MAC地址是FF:FF:FF:FF:FF:FF,请求IP为192.168.0.8的主机回 复MAC地址; B主机收到ARP解析请求广播后,回复给A主机一个ARP应答数据包,其中包含自己的IP地址和MAC 地址; A接收到B主机的ARP回复后,将B主机的MAC地址放入自己的ARP缓存列表,然后使用B主机的
一.WINDOWS下绑定 ARP绑定网关 步骤一: 在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址,并将其记录下来。 注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。 步骤二: 步骤二: 如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。 要想手工绑定,可在MS-DOS窗口下运行以下命令: arp -s 网关IP 网关MAC 例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下: Cocuments and Settings>arp -a Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 dynamic 其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。 被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。 手工绑定的命令为: arp -s 192.168.1.1 00-01-02-03-04-05 绑定完,可再用arp -a查看arp缓存: Cocuments and Settings>arp -a Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 static 这时,类型变为静态(static),就不会再受攻击影响了。 但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。 作批处理文件 在客户端做对网关的arp绑定,具体操作步骤如下: 步骤一: 查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。 比如:网关192.168.1.1 对应00-01-02-03-04-05。 步骤二:
ARP快速批量绑定MAC与IP地址,,三层交换机IP+MAC+端口绑定,如何突破MAC和IP... 快速批量绑定MAC与IP地址 一、问题的提出 校园网建成后,要求在服务器端把网内各工作站的MAC地址和分配的静态IP地址进行绑定,以方便统一管理,减小安全隐患。无论是在终端获取MAC地址后再在服务器端进行绑定,还是利用“MAC扫描器”远程批量获取MAC地址,对于网管员来说工作量都非常大。有没有更加方便快捷的方法呢? 二、解决问题思路 笔者经过摸索,发现组合使用“MAC扫描器”和Excel 2000可以很好地解决这个问题。思路如下: 1. 运行“MAC扫描器”(下载地址: https://www.doczj.com/doc/c117137615.html,/html/10/10456.html),扫描完成后,点击[保存]按钮,将扫描的结果保存为文本文件,如Mac.txt(内容见图1)。
图1 2. 利用Excel强大的数据处理功能,将文本文件中的MAC地址转换成ARP命令要求的格式后,把数据复制粘贴到记事本,保存为批处理文件(内容见图2)。 图2 3. 在服务器端运行这个批处理文件就大功告成了。
三、具体操作步骤 1.将Mac.txt导入Excel工作簿 (1)启动Excel 2000,新建一个工作簿,保存为“MAC地址表.xls”。单击“数据→获取外部数据→导入文本文件”,在弹出的对话框中,选择用“MAC扫描器”获得的文本文件“Mac.txt”,单击[导入]按钮,弹出“文本导入向导”对话框。 (2)在“文本导入向导——3步骤之1”中点击“原始数据类型”,在“请选择最合适的文件类型”单选项下,修改默认的“固定宽度”为“分隔符号”,然后单击[下一步]按钮;进入“文本导入向导——3步骤之2”,在“分隔符号”多选项下,取消“T ab键”,只选中“空格”项,再单击[下一步]按钮;进入“文本导入向导——3步骤之3”,单击[完成]按钮,弹出“导入数据”对话框时,单击[确定],完成数据导入。导入后的工作表如图3所示。 图3
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。 什么是ARP欺骗? 从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。 近期,一种新型的“ ARP 欺骗”木马病毒正在校园网中扩散,严重影响了校园网的正常运行。感染此木马的计算机试图通过“ ARP 欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。ARP欺骗木马的中毒现象表现为:使用校园网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果校园网是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d 后,又可恢复上网。ARP欺骗木马十分猖狂,危害也特别大,各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情,带来了网络大面积瘫痪的严重后果。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。 如何检查和处理“ ARP 欺骗”木马的方法 1 .检查本机的“ ARP 欺骗”木马染毒进程