觀速訊丨以太網或令牌環物理地址——ARP緩存

顯示和修改“地址解析協議 (ARP)”緩存中的項目。ARP 緩存中包含一個或多個表，它們用于存儲 IP 地址及其經過解析的以太網或令牌環物理地址。計算機上安裝的每一個以太網或令牌環網絡適配器都有自己單獨的表。如果在沒有參數的情況下使用，則 arp 命令將顯示幫助信息。  語法 arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]  參數 -a[ InetAddr] [ -N IfaceAddr]  顯示所有接口的當前 ARP 緩存表。要顯示特定 IP 地址的 ARP 緩存項，請使用帶有 InetAddr 參數的 arp -a，此處的 InetAddr 代表 IP 地址。如果未指定 InetAddr，則使用第一個適用的接口。要顯示特定接口的 ARP 緩存表，請將 -N IfaceAddr 參數與 -a 參數一起使用，此處的 IfaceAddr 代表指派給該接口的 IP 地址。-N 參數區分大小寫。  -g[ InetAddr] [ -N IfaceAddr]  與 -a 相同。 -d InetAddr [IfaceAddr]  刪除指定的 IP 地址項，此處的 InetAddr 代表 IP 地址。對于指定的接口，要刪除表中的某項，請使用 IfaceAddr 參數，此處的 IfaceAddr 代表指派給該接口的 IP 地址。要刪除所有項，請使用星號 (*) 通配符代替 InetAddr。 -s InetAddr EtherAddr [IfaceAddr]  向 ARP 緩存添加可將 IP 地址 InetAddr 解析成物理地址 EtherAddr 的靜態項。要向指定接口的表添加靜態 ARP 緩存項，請使用 IfaceAddr 參數，此處的 IfaceAddr 代表指派給該接口的 IP 地址。  /?  在命令提示符下顯示幫助。  注釋  ? InetAddr 和 IfaceAddr 的 IP 地址用帶圓點的十進制記數法表示。  ? EtherAddr 的物理地址由六個字節組成，這些字節用十六進制記數法表示并且用連字符隔開（比如，00-AA-00-4F-2A-9C）。

arp 命令

處理系統的 ARP 緩存，可以清除緩存中的地址映射，建立新的地址映射；

【資料圖】

語法： arp [-v][-n][-H type][-i if] -a [hostname]      arp [-v][-i if] -d hostname [pub]      arp [-v][-H type][-i if] -s hostname hw_addr [temp]      arp [-v][-H type][-i if] -s hostname hw_addr [netmask nm] pub      arp [-v][-H type][-i if] -Ds hostname ifa [netmask nm] pub      arp [-v][-n][-D][-H type][-i if] -f [filename]

該命令的各選項含義如下：

-v  顯示詳細信息；-n  以數字地址形式顯示；-i  If選擇界面；-H  type設置和查詢arp緩存時檢查 type 類型的地址；-a [hostname]  顯示指定 hostname 的所有入口；-d hostname  刪除指定 hostname 的所有入口；-D  使用ifa硬件地址界面；-s hostname hw_addr  手工加入 hostname 的地址映射；-f filename  從指定文件中讀入 hostname 和硬件地址信息

-s hostname hw_addr 手工加入 hostname 的地址映射；

采用雙向綁定的方法解決并且防止ARP欺騙。

1、在PC上綁定安全網關的IP和MAC地址：

1）首先，獲得安全網關的內網的MAC地址（例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa）。

2）編寫一個批處理文件rarp.bat內容如下：

@echo off

arp -d

arp -s 192.168.16.254 00-22-aa-00-22-aa

將文件中的網關IP地址和MAC地址更改為實際使用的網關IP地址和MAC地址即可。

ARP綁定功能使用幫助

ARP協議是處于數據鏈路層的網絡通信協議，它完成IP地址到物理地址（即MAC地址）的轉換功能。而ARP病毒正是通過偽造IP地址和MAC地址實現ARP欺騙，導致數據包不能發到正確的MAC地址上去，會在網絡中產生大量的ARP通信量使網絡阻塞，從而導致網絡無法進行正常的通信。

中了ARP病毒的主要癥狀是，機器之前可正常上網的，突然出現不能上網的現象（無法ping通網關），重啟機器或在MS-DOS窗口下運行命令“arp –d”后，又可恢復上網一段時間。有的情況是可以上網，但網速奇慢。 目前帶有ARP欺騙功能的軟件有“QQ第六感”、“網絡執法官”、“P2P終結者”、“網吧傳奇殺手”等，這些軟件中，有些是人為手工操作來破壞網絡的，有些是作為病毒或者木馬出現，使用者可能根本不知道它的存在，這樣的ARP病毒的殺傷力不可小覷。

從影響網絡連接通暢的方式來看，ARP欺騙有兩種攻擊可能，一種是對路由器ARP表的欺騙；另一種是對內網電腦ARP表的欺騙，當然也可能兩種攻擊同時進行。不管理怎么樣，欺騙發生后，電腦和路由器之間發送的數據就被送到錯誤的MAC地址上。從而導致了上面的癥狀的發生。

ARP綁定是防止ARP欺騙的有效方法，就是把IP地址與相應的MAC地址進行綁定來避免ARP欺騙。ARP欺騙形式有欺騙路由器ARP表和欺騙電腦ARP兩種，因此MAC地址綁定也有路由器ARP表的綁定和電腦上ARP表的綁定。兩個方面的設置都是必須的，不然，如果您只設置了路由器的防止ARP欺騙功能而沒有設置電腦，電腦被欺騙后就不會把數據包發送到路由器上，而是發送到一個錯誤的地方，當然無法上網和訪問路由器了。

范例

要顯示所有接口的 ARP 緩存表，可鍵入： arp -a

對于指派的 IP 地址為 10.0.0.99 的接口，要顯示其 ARP 緩存表，可鍵入： arp -a -N 10.0.0.99

要添加將 IP 地址 10.0.0.80 解析成物理地址 00-AA-00-4F-2A-9C 的靜態 ARP 緩存項，可鍵入： arp -s 10.0.0.80 00-AA-00-4F-2A-9C

---本文轉自網絡。