arp命令使用詳解

arp命令使用詳解

arp命令使用詳解（1）

顯示和修改“地址解析協議 (ARP)”緩存中的項目。ARP 緩存中包含一個或多個表，它們用於存儲 IP 地址及其經過解析的以太網或令牌環物理地址。計算機上安裝的每一個以太網或令牌環網絡適配器都有自己單獨的表。如果在沒有參數的情況下使用，則 arp 命令將顯示幫助信息。

語法

arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]

參數

-a[ InetAddr] [ -N IfaceAddr]

顯示所有接口的當前 ARP 緩存表。要顯示特定 IP 地址的 ARP 緩存項，請使用帶有 InetAddr 參數的 arp -a，此處的 InetAddr 代表 IP 地址。如果未指定 InetAddr，則使用第一個適用的接口。要顯示特定接口的 ARP 緩存表，請將 -N IfaceAddr 參數與 -a 參數一起使用，此處的 IfaceAddr 代表指派給該接口的 IP 地址。-N 參數區分大小寫。

-g[ InetAddr] [ -N IfaceAddr]

與 -a 相同。

-d InetAddr [IfaceAddr]

刪除指定的 IP 地址項，此處的 InetAddr 代表 IP 地址。對於指定的接口，要刪除表中的某項，請使用 IfaceAddr 參數，此處的 IfaceAddr 代表指派給該接口的 IP 地址。要刪除所有項，請使用星號 (*) 通配符代替 InetAddr。

-s InetAddr EtherAddr [IfaceAddr]

向 ARP 緩存添加可將 IP 地址 InetAddr 解析成物理地址 EtherAddr 的靜態項。要向指定接口的表添加靜態 ARP 緩存項，請使用 IfaceAddr 參數，此處的 IfaceAddr 代表指派給該接口的 IP 地址。

/?

在命令提示符下顯示幫助。

註釋

? InetAddr 和 IfaceAddr 的 IP 地址用帶圓點的十進制記數法表示。

? EtherAddr 的物理地址由六個字節組成，這些字節用十六進制記數法表示並且用連字符隔開（比如，00-AA-00-4F-2A-9C）。

arp 命令

處理系統的 ARP 緩存，可以清除緩存中的地址映射，建立新的地址映射；

語法：arp [-v][-n][-H type][-i if] -a [hostname]

arp [-v][-i if] -d hostname [pub]

arp [-v][-H type][-i if] -s hostname hw_addr [temp]

arp [-v][-H type][-i if] -s hostname hw_addr [netmask nm] pub

arp [-v][-H type][-i if] -Ds hostname ifa [netmask nm] pub

arp [-v][-n][-D][-H type][-i if] -f [filename]

該命令的各選項含義如下：

-v 顯示詳細信息；

-n 以數字地址形式顯示；

-i If選擇界面；

-H type設置和查詢arp緩存時檢查 type 類型的地址；

-a [hostname] 顯示指定 hostname 的所有入口；

arp命令使用詳解（2）

-d hostname 刪除指定 hostname 的所有入口；

-D 使用ifa硬件地址界面；

-s hostname hw_addr 手工加入 hostname 的地址映射；

-f filename 從指定文件中讀入 hostname 和硬件地址信息

-s hostname hw_addr 手工加入 hostname 的地址映射；

　採用雙向綁定的方法解決並且防止ARP欺騙。

　　1、在PC上綁定安全網關的IP和MAC地址：

　　1）首先，獲得安全網關的內網的MAC地址（例如HiPER網關地址192.168.16.254的MAC地址爲0022aa0022aa）。

　　2）編寫一個批處理文件rarp.bat內容如下：

　　@echo off

　　arp -d

　　arp -s 192.168.16.254 00-22-aa-00-22-aa

　　將文件中的網關IP地址和MAC地址更改爲實際使用的網關IP地址和MAC地址即可。

　　將這個批處理軟件拖到“windowsà開始à程序à啓動”中。

　　3）如果是網吧，可以利用收費軟件服務端程序（pubwin或者萬象都可以）發送批處理文件rarp.bat到所有客戶機的啓動目錄。Windows2000的默認啓動目錄爲“C:/Documents and Settings/All Users「開始」菜單程序啓動”。

we are also finding something a beautiful feeling … it is easy to know u are happy so i am happy  

     ARP綁定功能使用幫助

ARP協議是處於數據鏈路層的網絡通信協議，它完成IP地址到物理地址（即MAC地址）的轉換功能。而ARP病毒正是通過僞造IP地址和MAC地址實現ARP欺騙，導致數據包不能發到正確的MAC地址上去，會在網絡中產生大量的ARP通信量使網絡阻塞，從而導致網絡無法進行正常的通信。

中了ARP病毒的主要症狀是，機器之前可正常上網的，突然出現不能上網的現象（無法ping通網關），重啓機器或在MS-DOS窗口下運行命令“arp –d”後，又可恢復上網一段時間。有的情況是可以上網，但網速奇慢。

目前帶有ARP欺騙功能的軟件有“QQ第六感”、“網絡執法官”、“P2P終結者”、“網吧傳奇殺手”等，這些軟件中，有些是人爲手工操作來破壞網絡的，有些是作爲病毒或者木馬出現，使用者可能根本不知道它的存在，這樣的ARP病毒的殺傷力不可小覷。

從影響網絡連接通暢的方式來看，ARP欺騙有兩種攻擊可能，一種是對路由器ARP表的欺騙；另一種是對內網電腦ARP表的欺騙，當然也可能兩種攻擊同時進行。不管理怎麼樣，欺騙發生後，電腦和路由器之間發送的數據就被送到錯誤的MAC地址上。從而導致了上面的症狀的發生。

ARP綁定是防止ARP欺騙的有效方法，就是把IP地址與相應的MAC地址進行綁定來避免ARP欺騙。ARP欺騙形式有欺騙路由器ARP表和欺騙電腦ARP兩種，因此MAC地址綁定也有路由器ARP表的綁定和電腦上ARP表的綁定。兩個方面的設置都是必須的，不然，如果您只設置了路由器的防止ARP欺騙功能而沒有設置電腦，電腦被欺騙後就不會把數據包發送到路由器上，而是發送到一個錯誤的地方，當然無法上網和訪問路由器了

 

arp命令使用詳解（3）

－、路由器ARP表綁定設置

視具體路由器而定。比如安慶教育網使用的是Quidway Eudemon 500/1000防火牆。兼用路由器。他的命令是：

# 配置客戶機IP地址和MAC地址到地址綁定關係中。

[Eudemon] firewall mac-binding 202.169.168.1 00e0-fc00-0100

# 使能地址綁定功能。

[Eudemon] firewall mac-binding enable

二、電腦ARP綁定設置

Windows操作系統帶有ARP命令程序，可以在Windows的命令提示符下就用這個命令來完成ARP綁定。

打開Windows命令提示符，輸入“arp –a”，可以查看當前電腦上的ARP映射表。可以看到當前的ARP表的類型是“dynamic”，即動態的，通過

“arp –s w.x.y.z aa-bb-cc-dd-ee-ff”命令來添加靜態ARP實現ARP綁定。其中w.x.y.z代表路由器的IP地址，aa-bb-cc-dd-ee-ff代表路由器的MAC地址。

例如：arp -s 192.168.1.1 00-02-b3-3c-16-95

再輸入“arp -a”就可以看到剛纔添加的靜態ARP條目了。

爲了不必每次重啓電腦後都要重新輸入上面的命令來實現防止ARP欺騙，可以新建一個批處理文件如arp_bind.bat。在裏面加入我們剛纔的命令：

arp -s 192.168.1.1 00-02-b3-3c-16-95

保存就可以了，以後可以通過雙擊它來執行這條命令，還可以把它放置到系統的啓動目錄下來實現啓動時自己執行。打開電腦“開始”－＞“程序”，雙擊“啓動”打開啓動的文件夾目錄，把剛纔建立的arp_bind.bat複製到裏面去。這樣每次重啓都會執行ARP綁定命令，

通過這些設置，就可以很好的防止ARP攻擊了。

-

局域網出現“arp欺騙”木馬用戶無法上網的解決(轉)　

今天早上朋友單位很多電腦突然無法上網，請我過去看看，到了之後詢問之下，這個情況在多臺電腦上出現，並且很多電腦都是XP SP2的系統，而且開啓了防火牆。但仔細觀察發現大部分電腦都是開啓了文件和打印機共享服務，由於這個服務開放的137、138、139、445端口正是病毒常用的入侵端口，因此特別需要注意，如果沒必要的話，還是建議別開放，或者在防火牆的設置上關閉這個服務的端口。

今天出現的部分用戶無法上網現象和以前經常遇到的集體癱瘓有所不同，用sniffer觀察一段時間後症狀並不明顯，聯想到現在比較流行的arp欺騙木馬就找了一臺無法上網的電腦，運行cmd，輸入arp -a發現出現多個地址，並且出現不同的IP地址對應的MAC是一樣的，因此基本確定是中了arp欺騙。

以下說明下處理這種情況的方法：

首先進入命令行模式

然後運行arp -a命令，該命令是查看當前arp表，可以確認網關和對應的mac地址

arp命令使用詳解（4）

正常情況下會出現類似如下的提示：

Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 dynamic

如果192.168.1.1爲網關，那麼00-01-02-03-04-05就是網關服務器網卡的MAC地址，比對這個MAC是否和真的服務器網卡MAC一致，如果不一致就是被欺騙，會造成用戶無法上網。

而被欺騙的電腦可能會出現多個IP出現同樣的MAC，出現錯亂。這個時候記住要記下那個網關IP對應的錯誤MAC地址，這個地址很可能是中了木馬的電腦，這個可以方便接下來的查殺。

確認之後，可以輸入arp -d命令，以刪除當前計算機的arp表，方便重新建立arp表。

接下來可以綁定正確的arp網關，輸入arp -s 192.168.1.1 00-0e-18-34-0d-56

再用arp -a查看

Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type

192.168.1.1 00-0e-18-34-0d-56 static

這時，類型變爲靜態（static），就不會再受攻擊影響了。

至此這臺電腦便可以上網了，不過要徹底解決問題就需要找到那臺中木馬的電腦（一般就是那臺僞造了網關MAC的對應電腦），對其殺毒之後纔可以解決問題，推薦使用奇虎安全衛士配合木馬克星一類的殺木馬軟件查殺木馬，因爲很多殺毒軟件都無法發現現在的木馬。具體查殺過程還涉及一切系統知識和處理經驗，在此不再詳表。

最後介紹一下ARP欺騙類的木馬，一般爲比較熱門遊戲的盜號木馬；

原理是：

　　當局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和路由器，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。

　　切換到病毒主機上網後，如果用戶已經登陸了傳奇服務器，那麼病毒主機就會經常僞造斷線的假像，那麼用戶就得重新登錄傳奇服務器，這樣病毒主機就可以盜號了。