这几天差不多一直跟ARP攻击者做斗争,那么什么是ARP呢?ARP(地址转换协议)是一个重要的TCP/IP协议,并且用于确定对应Ip地址的网卡物理地址(MAC地址)。使用arp命令,我们能够查看本地计算机或另一台计算机的ARp高速缓存中的当前内容。此外,使用arp命令,也可以用人工方式输入静态的网卡物理/IP地址,我们可能会使用这种方式为缺省网关和本地服务器等常用主机进行这项作,有助于减少网络上的信息量。
但是MAC地址只能在本地网络中使用,假如我们的局域网中有子路由器,那么这个路由器下的所有机器在访问这个局域网的时候,机器的网卡物理地址都会被路由器的MAC地址所代替。
按照缺省设置,ARP高速缓存中的项目是动态的,每当发送一个指定地点的数据报且高速缓存中不存在当前项目时,ARP便会自动添加该项目。一旦高速缓存的项目被输入,它们就已经开始走向失效状态。例如,在Windows NT/2000网络中,如果输入项目后不进一步使用,物理/Ip地址对就会在2至10分钟内失效。因此,如果ARP高速缓存中项目很少或根本没有时,请不要奇怪,通过另一台计算机或路由器的ping命令即可添加。所以,需要通过arp命令查看高速缓存中的内容时,请最好先ping 此台计算机(不能是本机发送ping命令)。
ARP常用命令选项:
arp -a或arp –g
用于查看高速缓存中的所有项目。-a和-g参数的结果是一样的,多年来-g一直是UNIX平台上用来显示ARP高速缓存中所有项目的选项,而Windows用的是arp -a(-a可被视为all,即全部的意思),但它也可以接受比较传统的-g选项。
如果我们有多个网卡,那么使用arp -a将分别显示两块网卡的ARP高速缓存。
arp -s IP 物理地址
我们可以向ARP高速缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态,或者在出现错误时,人工配置的物理地址将自动更新该项目。
arp -d IP
使用本命令能够人工删除一个静态项目。
基本的命令就是这样的。每个包都会将MAC地址发送到ARP高速缓存,这样的话,ARP攻击者不就现身了嘛!
