arp命令使用详解

时间:2024-03-11 19:02:30

arp命令使用详解(1)

显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表,它们用于存储 IP地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用,则 arp命令将显示帮助信息。

语法

arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]

参数

-a[ InetAddr] [ -N IfaceAddr]

显示所有接口的当前 ARP 缓存表。要显示特定 IP 地址的 ARP 缓存项,请使用带有 InetAddr 参数的 arp -a,此处的InetAddr 代表 IP 地址。如果未指定 InetAddr,则使用第一个适用的接口。要显示特定接口的 ARP 缓存表,请将 -NIfaceAddr 参数与 -a 参数一起使用,此处的 IfaceAddr 代表指派给该接口的 IP 地址。-N 参数区分大小写。

-g[ InetAddr] [ -N IfaceAddr]

与 -a 相同。

-d InetAddr [IfaceAddr]

删除指定的 IP 地址项,此处的 InetAddr 代表 IP 地址。对于指定的接口,要删除表中的某项,请使用 IfaceAddr参数,此处的 IfaceAddr 代表指派给该接口的 IP 地址。要删除所有项,请使用星号 (*) 通配符代替 InetAddr。

-s InetAddr EtherAddr [IfaceAddr]

向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接口的 IP 地址。

/?

在命令提示符下显示帮助。

注释

? InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。

? EtherAddr 的物理地址由六个字节组成,这些字节用十六进制记数法表示并且用连字符隔开(比如,00-AA-00-4F-2A-9C)。

arp 命令

处理系统的 ARP 缓存,可以清除缓存中的地址映射,建立新的地址映射;

语法:arp [-v][-n][-H type][-i if] -a [hostname]

arp [-v][-i if] -d hostname [pub]

arp [-v][-H type][-i if] -s hostname hw_addr [temp]

arp [-v][-H type][-i if] -s hostname hw_addr [netmask nm] pub

arp [-v][-H type][-i if] -Ds hostname ifa [netmask nm] pub

arp [-v][-n][-D][-H type][-i if] -f [filename]

该命令的各选项含义如下:

-v 显示详细信息;

-n 以数字地址形式显示;

-i If选择界面;

-H type设置和查询arp缓存时检查 type 类型的地址;

-a [hostname] 显示指定 hostname 的所有入口;

arp命令使用详解(2)

-d hostname 删除指定 hostname 的所有入口;

-D 使用ifa硬件地址界面;

-s hostname hw_addr 手工加入 hostname 的地址映射;

-f filename 从指定文件中读入 hostname 和硬件地址信息

-s hostname hw_addr 手工加入 hostname 的地址映射;

 采用双向绑定的方法解决并且防止ARP欺骗。

  1、在PC上绑定安全网关的IP和MAC地址:

  1)首先,获得安全网关的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa)。

  2)编写一个批处理文件rarp.bat内容如下:

  @echo off

  arp -d

  arp -s 192.168.16.254 00-22-aa-00-22-aa

  将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。

  将这个批处理软件拖到“windowsà开始à程序à启动”中。

  3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:\Documents and Settings\All Users「开始」菜单程序启动”。

we are also finding something a beautiful feeling … it is easy to know u are happy so i am happy  

     ARP绑定功能使用帮助


ARP协议是处于数据链路层的网络通信协议,它完成IP地址到物理地址(即MAC地址)的转换功能。而ARP病毒正是通过伪造IP地址和MAC地址实现ARP欺骗,导致数据包不能发到正确的MAC地址上去,会在网络中产生大量的ARP通信量使网络阻塞,从而导致网络无法进行正常的通信。


中了ARP病毒的主要症状是,机器之前可正常上网的,突然出现不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令“arp –d”后,又可恢复上网一段时间。有的情况是可以上网,但网速奇慢。


目前带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等,这些软件中,有些是人为手工操作来破坏网络的,有些是作为病毒或者木马出现,使用者可能根本不知道它的存在,这样的ARP病毒的杀伤力不可小觑。


从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对路由器ARP表的欺骗;另一种是对内网电脑ARP表的欺骗,当然也可能两种攻击同时进行。不管理怎么样,欺骗发生后,电脑和路由器之间发送的数据就被送到错误的MAC地址上。从而导致了上面的症状的发生。


ARP绑定是防止ARP欺骗的有效方法,就是把IP地址与相应的MAC地址进行绑定来避免ARP欺骗。ARP欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种,因此MAC地址绑定也有路由器ARP表的绑定和电脑上ARP表的绑定。两个方面的设置都是必须的,不然,如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑,电脑被欺骗后就不会把数据包发送到路由器上,而是发送到一个错误的地方,当然无法上网和访问路由器了

 

arp命令使用详解(3)

-、路由器ARP表绑定设置


视具体路由器而定。比如安庆教育网使用的是Quidway Eudemon 500/1000防火墙。兼用路由器。他的命令是:

# 配置客户机IP地址和MAC地址到地址绑定关系中。

[Eudemon] firewall mac-binding 202.169.168.1 00e0-fc00-0100

# 使能地址绑定功能。

[Eudemon] firewall mac-binding enable

二、电脑ARP绑定设置

Windows操作系统带有ARP命令程序,可以在Windows的命令提示符下就用这个命令来完成ARP绑定。

打开Windows命令提示符,输入“arp –a”,可以查看当前电脑上的ARP映射表。可以看到当前的ARP表的类型是“dynamic”,即动态的,通过

“arp –s w.x.y.z aa-bb-cc-dd-ee-ff”命令来添加静态ARP实现ARP绑定。其中w.x.y.z代表路由器的IP地址,aa-bb-cc-dd-ee-ff代表路由器的MAC地址。

例如:arp -s 192.168.1.1 00-02-b3-3c-16-95

再输入“arp -a”就可以看到刚才添加的静态ARP条目了。

为了不必每次重启电脑后都要重新输入上面的命令来实现防止ARP欺骗,可以新建一个批处理文件如arp_bind.bat。在里面加入我们刚才的命令:

arp -s 192.168.1.1 00-02-b3-3c-16-95

保存就可以了,以后可以通过双击它来执行这条命令,还可以把它放置到系统的启动目录下来实现启动时自己执行。打开电脑“开始”->“程序”,双击“启动”打开启动的文件夹目录,把刚才建立的arp_bind.bat复制到里面去。这样每次重启都会执行ARP绑定命令,

通过这些设置,就可以很好的防止ARP攻击了。

-

局域网出现“arp欺骗”木马用户无法上网的解决(转) 


今天早上朋友单位很多电脑突然无法上网,请我过去看看,到了之后询问之下,这个情况在多台电脑上出现,并且很多电脑都是XPSP2的系统,而且开启了防火墙。但仔细观察发现大部分电脑都是开启了文件和打印机共享服务,由于这个服务开放的137、138、139、445端口正是病毒常用的入侵端口,因此特别需要注意,如果没必要的话,还是建议别开放,或者在防火墙的设置上关闭这个服务的端口。


今天出现的部分用户无法上网现象和以前经常遇到的集体瘫痪有所不同,用sniffer观察一段时间后症状并不明显,联想到现在比较流行的arp欺骗木马就找了一台无法上网的电脑,运行cmd,输入arp -a发现出现多个地址,并且出现不同的IP地址对应的MAC是一样的,因此基本确定是中了arp欺骗。


以下说明下处理这种情况的方法:


首先进入命令行模式


然后运行arp -a命令,该命令是查看当前arp表,可以确认网关和对应的mac地址

arp命令使用详解(4)

正常情况下会出现类似如下的提示:

Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type


192.168.1.1 00-01-02-03-04-05 dynamic


如果192.168.1.1为网关,那么00-01-02-03-04-05就是网关服务器网卡的MAC地址,比对这个MAC是否和真的服务器网卡MAC一致,如果不一致就是被欺骗,会造成用户无法上网。

而被欺骗的电脑可能会出现多个IP出现同样的MAC,出现错乱。这个时候记住要记下那个网关IP对应的错误MAC地址,这个地址很可能是中了木马的电脑,这个可以方便接下来的查杀。


确认之后,可以输入arp -d命令,以删除当前计算机的arp表,方便重新建立arp表。


接下来可以绑定正确的arp网关,输入arp -s 192.168.1.1 00-0e-18-34-0d-56

再用arp -a查看

Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type

192.168.1.1 00-0e-18-34-0d-56 static

这时,类型变为静态(static),就不会再受攻击影响了。


至此这台电脑便可以上网了,不过要彻底解决问题就需要找到那台中木马的电脑(一般就是那台伪造了网关MAC的对应电脑),对其杀毒之后才可以解决问题,推荐使用奇虎安全卫士配合木马克星一类的杀木马软件查杀木马,因为很多杀毒软件都无法发现现在的木马。具体查杀过程还涉及一切系统知识和处理经验,在此不再详表。


最后介绍一下ARP欺骗类的木马,一般为比较热门游戏的盗号木马;

原理是:

  当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。

  切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。