主機arp

1、ARP的功能有什麼

我們知道，當我們在瀏覽器裡面輸入網址時，DNS伺服器會自動把它解析為IP地址，瀏覽器實際上查找的是IP地址而不是網址。那麼IP地址是如何轉換為第二層物理地址（即MAC地址）的呢？在區域網中，這是通過ARP協議來完成的。ARP協議對網路安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網路中產生大量的ARP通信量使網路阻塞。所以網管們應深入理解ARP協議。

一、什麼是ARP協議

ARP協議是「Address Resolution Protocol」（地址解析協議）的縮寫。在區域網中，網路中實際傳輸的是「幀」，幀裡面是有目標主機的MAC地址的。在乙太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協議獲得的。所謂「地址解析」就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

二、ARP協議的工作原理

在每台安裝有TCP/IP協議的電腦里都有一個ARP緩存表，表裡的IP地址與MAC地址是一一對應的，如附表所示。

附表

我們以主機A（192.168.1.5）向主機B（192.168.1.1）發送數據為例。當發送數據時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀裡面發送就可以了；如果在ARP緩存表中沒有找到相對應的IP地址，主機A就會在網路上發送一個廣播，目標MAC地址是「FF.FF.FF.FF.FF.FF」，這表示向同一網段內的所有主機發出這樣的詢問：「192.168.1.1的MAC地址是什麼？」網路上其他主機並不響應ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應：「192.168.1.1的MAC地址是00-aa-00-62-c6-09」。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發送信息時，直接從ARP緩存表裡查找就可以了。ARP緩存表採用了老化機制，在一段時間內如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。
ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網路中產生大量的ARP通信量使網路阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網路中斷或中間人攻擊。
ARP攻擊主要是存在於區域網網路中，區域網中若有一個人感染ARP木馬，則感染該ARP木馬的系統將會試圖通過「ARP欺騙」手段截獲所在網路內其它計算機的通信信息，並因此造成網內其它計算機的通信故障。

三、如何查看ARP緩存表

ARP緩存表是可以查看的，也可以添加和修改。在命令提示符下，輸入「arp -a」就可以查看ARP緩存表中的內容了，如附圖所示。

用「arp -d」命令可以刪除ARP表中某一行的內容；用「arp -s」可以手動在ARP表中指定IP地址與MAC地址的對應。

四、ARP欺騙

其實，此起彼伏的瞬間掉線或大面積的斷網大都是ARP欺騙在作怪。ARP欺騙攻擊已經成了破壞網吧經營的罪魁禍首，是網吧老闆和網管員的心腹大患。

從影響網路連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。

第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，並按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，「網路掉線了」。

一般來說，ARP欺騙攻擊的後果非常嚴重，大多數情況下會造成大面積掉線。有些網管員對此不甚了解，出現故障時，認為PC沒有問題，交換機沒掉線的「本事」，電信也不承認寬頻故障。而且如果第一種ARP欺騙發生時，只要重啟路由器，網路就能全面恢復，那問題一定是在路由器了。為此，寬頻路由器背了不少「黑鍋」。

作為網吧路由器的廠家，對防範ARP欺騙不得已做了不少份內、份外的工作。一、在寬頻路由器中把所有PC的IP-MAC輸入到一個靜態表中，這叫路由器IP-MAC綁定。二、力勸網管員在內網所有PC上設置網關的靜態ARP信息，這叫PC機IP-MAC綁定。一般廠家要求兩個工作都要做，稱其為IP-MAC雙向綁定。

顯示和修改「地址解析協議」(ARP) 所使用的到乙太網的 IP 或令牌環物理地址翻譯表。該命令只有在安裝了 TCP/IP 協議之後才可用。

arp -a [inet_addr] [-N [if_addr]

arp -d inet_addr [if_addr]

arp -s inet_addr ether_addr [if_addr]

參數

-a

通過詢問 TCP/IP 顯示當前 ARP 項。如果指定了 inet_addr，則只顯示指定計算機的 IP 和物理地址。

-g

與 -a 相同。

inet_addr

以加點的十進制標記指定 IP 地址。

-N

顯示由 if_addr 指定的網路界面 ARP 項。

if_addr

指定需要修改其地址轉換表介面的 IP 地址（如果有的話）。如果不存在，將使用第一個可適用的介面。

-d

刪除由 inet_addr 指定的項。

-s

在 ARP 緩存中添加項，將 IP 地址 inet_addr 和物理地址 ether_addr 關聯。物理地址由以連字元分隔的6 個十六進制位元組給定。使用帶點的十進制標記指定 IP 地址。項是永久性的，即在超時到期後項自動從緩存刪除。

ether_addr

指定物理地址。

五、遭受ARP攻擊後現象

ARP欺騙木馬的中毒現象表現為：使用區域網時會突然掉線，過一段時間後又會恢復正常。比如客戶端狀態頻頻變紅，用戶頻繁斷網，IE瀏覽器頻繁出錯，以及一些常用軟體出現故障等。如果區域網中是通過身份認證上網的，會突然出現可認證，但不能上網的現象（無法ping通網關），重啟機器或在MS-DOS窗口下運行命令arp -d後，又可恢復上網。
ARP欺騙木馬只需成功感染一台電腦，就可能導致整個區域網都無法上網，嚴重的甚至可能帶來整個網路的癱瘓。該木馬發作時除了會導致同一區域網內的其他用戶上網出現時斷時續的現象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網路游戲密碼和賬號去做金錢交易，盜竊網上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經濟損失。

2、ARP是什麼？？？

ARP，即地址解析協議，實現通過IP地址得知其物理地址。在TCP/IP網路環境下，每個主機都分配了一個32位的IP地址，這種互聯網地址是在網際范圍標識主機的一種邏輯地址。為了讓報文在物理網路上傳送，必須知道對方目的主機的物理地址。這樣就存在把IP地址變換成物理地址的地址轉換問題。以乙太網環境為例，為了正確地向目的主機傳送報文，必須把目的主機的32位IP地址轉換成為48位乙太網的地址。這就需要在互連層有一組服務將IP地址轉換為相應物理地址，這組協議就是ARP協議。另有電子防翻滾系統也稱為ARP。
還有RARP：逆地址解析協議

3、怎樣查找區域網中的ARP病毒主機？

1、當區域網電腦受到斷網ARP攻擊時，我們可以藉助軟體來檢測ARP源，對此在百度中搜索下載「聚生網管」程序。

2、運行「聚生網管」程序，首先使用時需要創建新的監控網段，如圖所示，待創建完成後，點擊「開始監控」按鈕。

3、在打開的「聚生網管」程序主界面中，找到「輸出ARP攻擊」項進行勾選，如圖所示：

4、接著點擊程序主界面左上角的「啟用管理」按鈕，使程序處於後台運行及監控狀態，當有ARP攻擊時，將自動列表。

4、運行命令arp/a 是什麼？可查出控制自己的主機嗎？

arp/a和arp -a效果一樣。是查看本機網路的網關地址的
如果有人用了P2P軟體。那麼arp/a命令下就會出現錯誤的網關地址。造成網路受限狀態。
解決辦法是安裝arp防火牆。當有人使用P2P軟體時。會出現那個使用P2P軟體用戶的網卡地址。從而可以找到那個人。前提是你需要知道區域網所有電腦的網卡MAC地址

5、arp是什麼意思

ARP
（地址解析協議）
地址解析協議，即ARP（Address Resolution Protocol），是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到網路上的所有主機，並接收返回消息，以此確定目標的物理地址；收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間，下次請求時直接查詢ARP緩存以節約資源。地址解析協議是建立在網路中各個主機互相信任的基礎上的，網路上的主機可以自主發送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存；由此攻擊者就可以向某一主機發送偽ARP應答報文，使其發送的信息無法到達預期的主機或到達錯誤的主機，這就構成了一個ARP欺騙。ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關系、添加或刪除靜態對應關系等。相關協議有RARP、代理ARP。NDP用於在IPv6中代替地址解析協議。

6、arp -a和arp -d分別是什麼意思

arp -a是 顯示查看高速緩存中的所有項目。
arp -d是 人工刪除一個靜態項目。

ARP緩存是個用來儲存IP地址和MAC地址的緩沖區，其本質就是一個IP地址-->MAC地址的對應表，表中每一個條目分別記錄了網路上其他主機的IP地址和對應的MAC地址。每一個乙太網或令牌環網路適配器都有自己單獨的表。

當地址解析協議被詢問一個已知IP地址節點的MAC地址時，先在ARP緩存中查看，若存在，就直接返回與之對應的MAC地址，若不存在，才發送ARP請求向區域網查詢。

(6)主機arp擴展資料:

ARP（地址解析協議）地址解析協議，即ARP（Address Resolution Protocol），是根據IP地址獲取物理地址的一個TCP/IP協議。

主機發送信息時將包含目標IP地址的ARP請求廣播到網路上的所有主機，並接收返回消息，以此確定目標的物理地址；收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間，下次請求時直接查詢ARP緩存以節約資源。

地址解析協議是建立在網路中各個主機互相信任的基礎上的，網路上的主機可以自主發送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存；

由此攻擊者就可以向某一主機發送偽ARP應答報文，使其發送的信息無法到達預期的主機或到達錯誤的主機，這就構成了一個ARP欺騙。

ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關系、添加或刪除靜態對應關系等。相關協議有RARP、代理ARP。NDP用於在IPv6中代替地址解析協議。

參考資料：arp 網路

7、路由器里的ARP表是什麼意思？

1、ARP，地址解析協議。
ARP列表，是獲取到的最近一段時間內使用過的IP地址與MAC地址的對應關系。
2、通過ARP映射表來觀察網路中計算機的MAC地址和IP地址的映射關系，並可選定欲控制的計算機條目進行配置。
3、ARP綁定設置可以防止ARP攻擊，因為ARP病毒可以偽IP為代理伺服器（但MAC地址還是本機的），如果沒有綁定的話，內部區域網的會不停的訪問中了ARP病毒的電腦,自然你就上不了網了。
如果綁定了之後，MAC地址和IP地址就一一對應了，防ARP攻擊的目的就達到了。

8、arp命令的作用

ARp是一個重要的TCp/Ip協議，並且用於確定對應Ip地址的網卡物理地址。

實用arp命令，我們能夠查看本地計算機或另一台計算機的ARp高速緩存中的當前內容。此外，使用arp命令，也可以用人工方式輸入靜態的網卡物理/Ip地址對，我們可能會使用這種方式為預設網關和本地伺服器等常用主機進行這項作，有助於減少網路上的信息量。

(8)主機arp擴展資料：

ARP原理：某機器A要向主機B發送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址後就會進行數據傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機B回答物理地址Pb。

網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答後，就會更新本地的ARP緩存。

接著使用這個MAC地址發送數據（由網卡附加MAC地址）因此，本地高速緩存的這個ARP表是本地網路流通的基礎，而且這個緩存是動態的。

9、ARP有什麼用

地址解析協議，即ARP（Address Resolution Protocol），是根據IP地址獲取物理地址的一個TCP/IP協議。
主機發送信息時將包含目標IP地址的ARP請求廣播到網路上的所有主機，並接收返回消息，以此確定目標的物理地址；收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間，下次請求時直接查詢ARP緩存以節約資源。地址解析協議是建立在網路中各個主機互相信任的基礎上的，網路上的主機可以自主發送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存；由此攻擊者就可以向某一主機發送偽ARP應答報文，使其發送的信息無法到達預期的主機或到達錯誤的主機，這就構成了一個ARP欺騙。
ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關系、添加或刪除靜態對應關系等。相關協議有RARP、代理ARP。NDP用於在IPv6中代替地址解析協議。

10、怎樣找到ARP攻擊的主機？

一、查看防火牆日誌
區域網中有電腦感染ARP類型病毒後，一般從防火牆的日誌中可以初步判斷出感染病毒的主機。
感染病毒的機器的典型特徵便是會不斷的發出大量數據包，如果在日誌中能看到來自同一IP的大量數據包，多半情況下是這台機器感染病毒了。
這里以Nokia
IP40防火牆為例，進入防火牆管理界面後，查看日誌項，在「Event
Log」標簽下可以明顯看到內網中有一台機器不斷的有數據包被防火牆攔截，並且間隔的時間都很短。目標地址為公司WEB伺服器的外網IP地址，設置過濾策略時對WEB伺服器特意加強保護，所以可以看到這些項目全部是紅色標示出來的。
到WEB伺服器的數據包被攔截了，那些沒有攔截的數據包呢？自然是到達了目的地，而「目的」主機自然會不間斷的掉線了。
由於內網採用的DHCP伺服器的方法，所以只知道IP地址還沒有用，必須知道對應的MAC地址，才能查到病毒源。我們可以利用NBTSCAN來查找IP所對應的MAC地址。如果是知道MAC地址，同樣可以使用NBBSCAN來得到IP地址。
二、利用現有工具
如果覺得上面的方法有點麻煩，且效率低下的話，那麼使用專業的ARP檢測工具是最容易不過的事了。這里就請出簡單易用，但功能一點也不含糊的ARP
防火牆。
ARP防火牆可以快速的找出區域網中ARP攻擊源，並且保護本機與網關之間的通信，保護本機的網路連接，避免因ARP攻擊而造成掉線的情況發生。
軟體運行後會自動檢測網關IP及MAC地址並自動保護電腦。如果軟體自動獲取的地址有錯誤，可單擊「停止保護」按鈕，填入正確的IP地址後，單擊「枚取MAC」按鈕，成功獲取MAC地址後，單擊「自動保護」按鈕開始保護電腦。
當本機接收到ARP欺騙數據包時，軟體便會彈出氣泡提示，並且指出機器的MAC地址。
三、有效防守
俗話說，進攻才是最好的防守。雖然通過上面的方法可以找到病毒源，並最終解決問題，不過長期有人打電話抱怨「又斷線了……」。總是這樣擦屁股，似乎不是長久之際，因此有效保護每一台機器不被ARP欺騙攻擊才是上策。

比較有效的方法之一便是在每一台機器上安裝ARP防火牆，設置開機自啟動，並且在「攔截本機發送的攻擊包」項打勾，這樣不僅可以保護不受攻擊，還可以防止本機已感染病毒的情況下，發送欺騙數據攻擊別的機器的情況發生。
　所謂「道高一尺，魔高一丈」，技術總是在不斷更新，病毒也在不斷的發展。使用可防禦ARP攻擊的三層交換機，綁定埠MAC-IP，合理劃分VLAN，
徹底阻止盜用IP、MAC地址，杜絕ARP的攻擊，才是最佳的防範策略。對於經常爆發病毒的網路，可以進行Internet訪問控制，限制用戶對網路的訪
問。因為大部分ARP攻擊程序網路下載到客戶端，如果能夠加強用戶上網的訪問控制，就能很好的阻止這類問題的發生。