用ARP -a 命令如何知道哪台机中了ARP?

最新推荐文章于 2025-05-26 20:34:47 发布
转载 最新推荐文章于 2025-05-26 20:34:47 发布 · 7.4k 阅读 · 11

用ARP -a 命令如何知道哪台机中了ARP?

我在主机用ARP -A 命令,看不到本机IP 和MAC,别的机可以看到,但30台都开着,我只能查到20多台,怎么知道哪台中了ARP了呢?这几天狂掉线啊~~掉到我头都大了

用arp -d 中断一次后再用arp -a 查看,反复几次,

有相同mac地址就是中了咯!!!(也有吴报的可能)

1 ARP协议简介   

 

ARP(Address Resolution Protocol)即地址解析协议,该协议将网络层的IP地址转换为数据链路层地址。TCP IP协议中规定,IP地址为32位,由网络号和网络内的主机号构成,每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中,源主机和目的主机通信时,源主机不仅要知道目的主机的IP地址,还要知道目的主机的数据链路层地址,即网卡的MAC地址,同时规定MAC地址为48位。ARP协议所做的工作就是查询目的主机的IP地址所对应的MAC地址,并实现双方通信。

 

2  ARP协议的工作原理

 

 

 

 

图1 网段内ARP工作原理

[img=http://www.ahcit.com/back/20061120152951341.jpg]

[img=http://www.ahcit.com/back/2006112015305626.jpg]

 

图2 夸网段ARP工作原理

 

源主机在传输数据前,首先要对初始数据进行封装,在该过程中会把目的主机的IP地址和MAC地址封装进去。在通信的最初阶段,我们能够知道目的主机的IP地址,而MAC地址却是未知的。这时如果目的主机和源主机在同一个网段内,源主机会以第二层广播的方式发送ARP请求报文。ARP请求报文中含有源主机的IP地址和MAC地址,以及目的主机的IP地址。当该报文通过广播方式到达目的主机时,目的主机会响应该请求,并返回ARP响应报文,从而源主机可以获取目的主机的MAC地址,同样目的主机也能够获得源主机的MAC地址。如果目的主机和源主机地址不在同一个网段内,源主机发出的IP数据包会送到交换机的默认网关,而默认网关的MAC地址同样可以通过ARP协议获取。经过ARP协议解析IP地址之后,主机会在缓存中保存IP地址和MAC地址的映射条目,此后再进行数据交换时只要从缓存中读取映射条目即可。ARP协议工作原理详见图1和图2。

 

3 ARP欺骗攻击的实现过程

 

3.1 网段内的ARP欺骗攻击ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP与MAC间的映射对,并以此更新目标主机缓存。设在同一网段的三台主机分别为A,B,C,详见表1。

 

表1:同网段主机IP地址和MAC地址对应表

 

用户主机

 IP地址

 MAC地址

 

A

 10.10.100.1

 00-E0-4C-11-11-11

 

B

 10.10.100.2

 00-E0-4C-22-22-22

 

C

 10.10.100.3

 00-E0-4C-33-33-33

 

 

 

 

 

 

 

假设A与B是信任关系,A欲向B发送数据包。攻击方C通过前期准备,可以发现B的漏洞,使B暂时无法工作,然后C发送包含自己MAC地址的ARP应答给A。由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存,而不考虑是否发出过真实的ARP请求,所以A接收到应答后,就更新它的ARP缓存,建立新的IP和MAC地址映射对,即B的IP地址10.10.100.2对应了C的MAC地址00-E0-4C-33-33-33。这样,导致A就将发往B的数据包发向了C,但A和B却对此全然不知,因此C就实现对A和B的监听。

 

3.2 跨网段的ARP欺骗攻击   

 

跨网段的ARP欺骗比同一网段的ARP欺骗要复杂得多,它需要把ARP欺骗与ICMP重定向攻击结合在一起。假设A和B在同一网段,C在另一网段,详见表2。

 

表2:跨网段主机IP地址和MAC地址对应表

 

用户主机

 IP地址

 MAC地址

 

A

 10.10.100.1

 00-E0-4C-11-11-11

 

B

 10.10.100.2

 00-E0-4C-22-22-22

 

C

 10.10.200.3

 00-E0-4C-33-33-33

 

 

 

 

 

 

 

    首先攻击方C修改IP包的生存时间,将其延长,以便做充足的广播。然后和上面提到的一样,寻找主机B的漏洞,攻击此漏洞,使主机B暂时无法工作。此后,攻击方C发送IP地址为B的IP地址10.10.100.2,MAC地址为C的MAC地址00-E0-4C-33-33-33的ARP应答给A。A接收到应答后,更新其ARP缓存。这样,在主机A上B的IP地址就对应C的MAC地址。但是,A在发数据包给B时,仍然会在局域网内寻找10.10.100.2的MAC地址,不会把包发给路由器,这时就需要进行ICMP重定向,告诉主机A到10.10.100.2的最短路径不是局域网,而是路由,请主机重定向路由路径,把所有到10.10.100.2的包发给路由器。主机A在接受到这个合理的ICMP重定向后,修改自己的路由路径,把对10.10.100.2的数据包都发给路由器。这样攻击方C就能得到来自内部网段的数据包。

 

4  ARP欺骗攻击安全防范策略

4.1用户端绑定    在用户端计算机上绑定交换机网关的IP和MAC地址。

 

    1)首先,要求用户获得交换机网关的IP地址和MAC地址,用户在DOS提示符下执行 arp –a命令,具体如下:

 

C:\Documents and Settings\user>arp -a

 

Interface: 10.10.100.1 --- 0x2

 

    Internet Address  Physical Address   Type

 

    10.10.100.254   00-40-66-77-88-d7  dynamic

 

    其中10.10.100.254和00-30-6d-bc-9c-d7分别为网关的IP 地址和MAC地址,因用户所在的区域、楼体和交换机不同,其对应网关的IP地址和MAC地址也不相同。

 

    2)编写一个批处理文件arp.bat,实现将交换机网关的MAC地址和网关的IP地址的绑定,内容如下:

    @echo off

    arp -d

    arp -s  10.10.100.254  00-40-66-77-88-d7

 

    用户应该按照第一步中查找到的交换机网关的IP地址和MAC地址,填入arp –s后面即可,同时需要将这个批处理软件拖到“windows--开始--程序--启动”中,以便用户每次开机后计算机自动加载并执行该批处理文件,对用户起到一个很好的保护作用。

谁可以告诉我一些系统批处理的bat文件的编写方法啊?

把以下内容复制到记事本,然后另存为 run.bat , 双击运行.

 

@echo off

echo 我的第一个批处理

echo 耶,我会写批处理了.

echo 让我们来看看现在的时间吧

echo %time%

echo 让我们看看这个文件夹的文件吧

pause

dir

echo 哈哈,我会了

echo 停在这里

pause

 

4.2 网管交换机端绑定   

 

在核心交换机上绑定用户主机的IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。

 

    1)IP和MAC地址的绑定。在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。具体实现方法如下(以AVAYA三层交换机为例):

 

P580(Configure)# arp 10.10.100.1  00:E0:4C:11:11:11

 

P580(Configure)# arp 10.10.100.2  00:E0:4C:22:22:22

 

P580(Configure)# arp 10.10.200.3  00:E0:4C:33:33:33

 

    2)MAC地址与交换机端口的绑定。根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号,将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网,自然也就不会对局域网造成干扰了。具体操作如下(以AVAYA二层边缘交换机为例):

 

console> (enable) lock port 1/1

 

console> (enable) add mac 00:E0:4C:11:11:11 1

 

Address 00:E0:4C:11:11:11 was added to the secure list !

 

console> (enable) lock port 1/2

 

console> (enable) add mac 00:E0:4C:22:22:22 2

 

Address 00:E0:4C:22:22:22 was added to the secure list !

 

console> (enable) lock port 1/3

 

console> (enable) add mac 00:E0:4C:33:33:33 3

 

Address 00:E0:4C:33:33:33 was added to the secure list !

 

console> (enable) show cam

 

VLAN  DestMAC/Route Des  Destination Port

 

1    00:E0:4C:11:11:11    1/1

 

1    00:E0:4C:22:22:22    1/2

 

1    00:E0:4C:33:33:33    1/3

 

4.3 采用VLAN技术隔离端口   

 

局域网的网络管理员可根据本单位网络的拓卜结构,具体规划出若干个VLAN,当管理员发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受病毒ARP病毒感染而影响网络时,网络管理员可利用技术手段首先查找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN将该用户与其它用户进行物理隔离,以避免对其它用户的影响。当然也可以利用将交换机端口Disable掉来屏蔽该用户对网络造成影响,从而达到安全防范的目的。

cmd查看局域网所有IP信息 arp -a(ARP命令介绍)
玉米君的博客
08-14 6万+
首先让我们了解下什么是ARP ARP地址解析协议) 地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,
计算机网络-网络层例题汇总
qq_43613793的博客
04-07 8823
1 网络层提供的两种服务 虚电路服务 虚电路服务的思路来源于传统的电信网。 电信网负责保证可靠通信的一切措施,因此电信网的节点交换机复杂而昂贵。 数据报服务 数据报服务力求使网络生存性好和使对网络的控制功能分散,因而只能要求网络提供最大努力的服务。 可靠通信由用户终端中的软件(即TCP)来保证。 二者对比 2 网际协议 IP 3 划分子网和构造超网 4 网际控制报文协议 ICMP 5 互联网的路...
网络学习笔记(五)ARP协议
最新发布
weixin_72676988的博客
05-26 432
主机A请求主机C的mac地址,主机A跟主机C在进行通信过程中,在数据封装的时候,主机A在arp项里面找不到目的IP的mac地址,因此主机a向主机C发送arp请求,首先主机A要在本地生成ARP请求数据包,封装帧头帧尾形成以太网数据帧,把数据帧发送给交换机,交换机获取到帧头里面的源mac和目的mac,对源mac进行学习,将源mac地址和接收端口绑定,构建mac地址,基于目的mac地址进行转发,因为目的mac地址为全F。如果目的为单播mac,查mac地址,能找到按照项转发,找不到,执行泛洪。
计算机网络笔记--网络层 arp欺骗,怎么判断自己机器是否存在arp欺骗。
菜鸟变凤凰
03-21 581
000
arp -a 获取内网被占用的ip
飞火龙在天的博客
07-24 1442
cmd里面输入arp -a 就可以了 定
ROS命令大全
01-09
命令使用foreach循环来遍历所有在线机器的ARP项,然后将其MAC地址绑定到ARP项中。 解除所以绑定的MAC ROS 命令大全中提供了一个命令来解除所有绑定的MAC地址。该命令使用foreach循环来遍历所有ARP项,然后...
局域网安全嗅探专家(PromqryUI)
11-20
目前局域网中ARP攻击泛滥,如果你在网吧、公司网中使用电脑就要注意了,你身边的人根本不用木马或者...任何人使用ARP攻击软件即可窃听局域网中的任一台机,为了保证局域网安全,推荐你使用PromqryUI揪出网络窃听者!
flannel-udp模式原理分析
小张的专栏
08-03 750
本来上一篇文章应该是介绍flannel的udp模式的了,但因为其中的内容会涉及到linux虚拟网络设备tun的原理,所以先介绍一下tun设备,然后在这一篇才转入正题。 flannel一共有UDP、VXLAN、HOST-GW三种工作模式,如果开启了Directrouting的话,会使用VXLAN和HOST-GW组合,不跨网段就使用HOST-GW,跨网段就使用VXLAN。对于host-gw和vxlan我们在前面的文章中有过简单地介绍,在这篇文章我们来分析一下flannel的UDP模式,虽然这种模式现在基本上已经
【2021-08-05 修订】【梳理】计算机网络:自顶向下方法 第六章 链路层和LAN(docx)
COFACTOR
12-29 2667
计算机网络 知 识 梳 理 (第一版) 建议先修课程:数据结构。 配套教材: Computer Networking - A Top Down Approach, 7th edition James F. Kurose, Keith W. Ross 参考书目: 1、计算机网络(第7版) 谢希仁 编著 高等教育出版社 链接:https://pan.baidu.com/s/1EBG7z0WNYpv3PzZXBmY5yg 提取码:0000 说明 由于时间关系,6.7 节的笔记暂时还没做。 六 链路层
arp a命令的通俗解释
热门推荐
lgstudyvc的专栏
07-02 2万+
ARP -A,查询系统中缓存的ARPARP用来维护IP地址MAC地址的一一对应。 比方说,某推拿室总有30名服务员,为了方便管理,服务员都编了号,由01编到30。客人们都只记得服务员的编号。我去这个桑拿房,因为25号技术特好,我就对前台的说:我要25号来给我做推拿。这时前台的管理人员脑子里有一张知道25号具体是哪个服务员,于是叫了那个服务员来给我做推拿。当然,为了防止忘记,抽屉
arp -a命令输出详解
我的个人博客
03-19 1462
(IP 地址MAC 地址的映射关系),帮助了解局域网中哪些设备与本机有过通信。对应一个网络适配器,通过 IP 地址标识。
ARP协议揭密
牛人网络
08-05 2031
ARP协议揭密张新瑞 (zhangxinrui2@163.com) 2003 年 5 月1 ARP协议概述IP数据包常通过以太网发送。以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张地址解析协议(Address Res
网络层的协议(主要是IP协议、ICMP协议和ARP协议)与应用详情(IP数据包格式详解,ICMP协议详解,ARP协议详解,ARP共计与欺骗的原理与应用)
CN_TangZheng的博客
10-20 3478
网络层是OSI参考模型中的第三层,介于传输层和数据链路层之间,它在数据链路层提供的两个相邻端点之间的数据帧的传送功能上,进一步管理网络中的数据通信,将数据设法从源端经过若干个中间节点传送到目的端,从而向运输层提供最基本的端到端的数据传送服务。 网络层的协议有:IP 、ICMP 、IGMP 、ARP 、RARP 我们主要学习IP 、ICMP 、 和ARP的原理与应用
arp -a 复合命令确认ip是否冲突,将冲突的信息输出到文件中
zengliguang的专栏
11-19 1099
以下分别介绍在 Windows 和 Linux 系统下,使用arp -a。
我来玩转一下arp -a (pc ping 手机)
认知 行动 坚持
01-09 1万+
我进行了如下图的操作:         我们可以看到, 第一次在pc的cmd中操作arp -a的时候, arp缓存中并没有手机的相关信息。  此时, 我们让pc来ping一下手机ip, 通过抓包可以看出pc在局域网内广播了arp包, 意思在说: 谁的ip是192.168.1.100, 请告诉我你的mac,  手机受到这个包后, 发现pc喊的正是自己的ip, 于是把自己的mac地址返回,
arp 命令
旺旺的碎冰冰~的博客
04-16 6486
arp 欺骗,arp -a,arp -s,arp欺骗的解决方法!
学习使用PING、ARP -a、ipconfig等网络测试命令;找出本机以及虚拟机的MAC地址、IP地址等等信息。
杨丙的博客
06-06 2万+
学习使用PING、ARP -a、ipconfig等网络测试命令;找出本机以及虚拟机的MAC地址、IP地址等等信息。 一、PING命令   ping是Windows、Unix和Linux系统下的一个命令。ping也属于一个通信协议,是TCP/IP协议的一部分。利用“ping”命令可以检查网络是否连通,可以很好地帮助我们分析和判定网络故障。 二、ARP -a命令   ARP命令用于...
arp -a命令是什么意思
05-09
<think>好的,我现在需要帮助用户理解`arp -a`命令的含义和用法。首先,我要回顾用户之前的对话历史,确保回答的一致性和相关性。用户之前询问了关于`arp-scan`在特定接口无法获取IP的问题,我提供了详细的排查步骤和相关解决方案。现在用户转向了`arp -a`命令,需要解释其作用和使用方法。 首先,我需要确认`arp -a`的基本功能。ARP地址解析协议)用于将IP地址映射到物理MAC地址,而`arp -a`命令用于显示当前ARP缓存中的条目。用户可能是在网络调试或维护中遇到问题,需要查看或修改ARP。 接下来,用户引用了三个站内资料,其中提到了手动修改ARP条目、`arp -a`的用法示例以及输出的解释。这些引用需要整合到回答中,但根据用户指示,这些只是参考,真正的需求是了解`arp -a`的具体作用和使用方法。因此,我需要确保回答覆盖命令的功能、使用场景、参数选项以及示例。 用户可能的需求层次包括:基本命令作用、如何使用、不同参数的效果、实际应用场景以及问题排查。需要结构清晰,分步骤解释,同时提供示例帮助理解。另外,用户可能对输出中的不同接口和条目有疑问,比如虚拟网卡或DHCP失败的情况,需要适当解释。 还要注意用户之前的问题涉及接口配置和权限,可能在回答中需要提到权限问题,比如是否需要sudo来运行某些arp命令。但根据引用内容,`arp -a`通常不需要管理员权限,但修改ARP时需要,这点需要说明。 需要验证LaTeX格式是否正确,确保行内公式用$...$,独立公式用$$...$$,但在此回答中可能涉及较少数学公式,更多是代码块和命令行示例。需要检查代码块是否正确使用反引号和语法高亮。 最后,生成的相关问题需要与当前主题相关,比如ARP协议原理、缓存问题、与其他命令的区别等,帮助用户进一步探索。 总结回答结构:定义命令、作用、使用场景、语法、参数详解、使用示例、常见输出解析、注意事项、相关问题。确保引用标记正确,如[^1][^2][^3],并自然融入回答中。</think>--- ### `arp -a`命令详解 `arp -a`用于显示当前系统的ARP缓存,即**IP地址MAC地址的映射关系**。这是网络通信的基础数据,由系统自动维护或手动配置[^1][^2]。 --- ### 一、命令核心作用 1. **查询ARP缓存** - 显示所有网络接口的ARP条目(默认行为) - 包含动态学习条目(自动生成)和静态绑定条目(手动配置)[^3] 2. **网络故障排查** - 验证设备间网络连通性 - 检测ARP欺骗或IP冲突 --- ### 二、完整语法与参数 ```bash arp [-a] [IP地址] [-n] [-v] [-i 接口] ``` | 参数 | 功能 | 示例 | |------|------|------| | `-a` | 显示所有接口的ARP缓存 | `arp -a` | | `-n` | 以数字形式显示IP地址(禁用DNS反向解析) | `arp -a -n` | | `-v` | 显示详细条目(包括无效/环回接口) | `arp -a -v` | | `-i [接口]` | 指定查看某个接口的ARP缓存 | `arp -a -i eth0` | --- ### 三、典型输出解析 假设执行`arp -a -v`后输出: ```bash 接口: 192.168.1.10 --- 0x3 Internet地址 物理地址 类型 192.168.1.1 00-11-22-33-44-55 动态 192.168.1.100 (incomplete) 无效 169.254.199.84 ff-ff-ff-ff-ff-ff 静态 ``` - **动态条目**:系统自动学习,通常有效期2-5分钟 - **静态条目**:手动配置(如`arp -s 192.168.1.100 AA-BB-CC-DD-EE-FF`) - **无效条目**:`(incomplete)`ARP请求未收到响应,可能目标设备离线 --- ### 四、关键应用场景 1. **手动绑定IP-MAC映射** ```bash sudo arp -s 192.168.1.100 AA:BB:CC:DD:EE:FF # 防ARP欺骗[^1] ``` 2. **清除错误缓存** ```bash sudo arp -d 192.168.1.100 # 删除指定条目 sudo arp -d * # 清除所有动态条目 ``` 3. **跨接口查询** ```bash arp -a -i wlan0 # 仅显示无线网卡ARP缓存 ``` --- ### 五、注意事项 - **权限要求**:查看条目无需`sudo`,修改/删除需管理员权限 - **缓存时效性**:动态条目会定期刷新,静态条目需手动维护 - **虚拟接口干扰**:输出可能包含虚拟机网卡条目(如VMware/VirtualBox)[^3] ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值