A. arp -a arp -d 分別什麼意思 說白話 詳細點
arp -a 顯示pc mac地址,arp -d 清除所有mac地址
arp有動態學習和靜態綁定兩種。
截圖上兩個動態的是正常學習到得,後面靜態是pc自己生成的,不影響正常上網
判斷arp攻擊很簡單,如果上不了網,用arp -a查看網關ip(一般是192.168.1.1)對應的mac地址是不是正確的。
怎麼判斷網關mac正確?平時正常上網時記下網關mac,出問題時一對比就知道是否有攻擊
B. 兩次運行cmd輸入arp -a後顯示如下圖。為什麼顯示不同,多出來那麼多是怎麼回事
arp -a即是查看本地區域網內所有用戶ip和mac地址綁定關系的一個命令.
ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網路流通的基礎,而且這個緩存是動態的。
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,當區域網中的某台機器B向A發送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答後,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於區域網的網路流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網路不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。
所以兩次不一樣是很正常的
C. sniffer捕獲的arp數據包是怎樣生成
sniffer是網路治理的好工具,網路中傳輸的所有數據包都可以通過sniffer來檢測。同樣arp欺騙數據包也逃不出sniffer的監測范圍。一般來說ARP欺騙數據包沒有留下發送虛假信息的主機地址,但是承載這個ARP包的ethernet幀卻包含了他的源地址。而且正常情況下ethernet數據幀中,幀頭里的MAC源地址/目標地址應該和幀數據包中ARP信息配對,這樣的ARP包才算是正確的。假如不正確,肯定是假冒的包,當然假如匹配的話,我們也不能過於放鬆,一樣不能代表是正確的,另外通過檢測到的數據包再結合網關這里擁有的本網段所有MAC地址網卡資料庫,看看哪個和Mac資料庫中數據不匹配,這樣就可以找到假冒的ARP數據包,並進一步找到兇手了。關於MAC地址網卡資料庫可以在第一次裝系統的時候進行記錄,將網吧座位號與MAC地址等信息做一個對應表格。查看MAC地址的方法是通過「開始->運行」,進入命令提示窗口,然後輸入ipconfig /all。在physical address的右邊就是相應網卡的MAC地址。(如圖1) 點擊查看大圖二,DHCP結合靜態捆綁法:要想徹底避免ARP欺騙的發生,我們需要讓各個計算機的MAC地址與IP地址唯一且相對應。雖然我們可以通過為每台計算機設置IP地址的方法來治理網路,但是碰到那些通過ARP欺騙非法攻擊的用戶來說,他可以事先自己手動更改IP地址,這樣檢查起來就更加復雜了,所以說保證每台計算機的MAC地址與IP地址唯一是避免ARP欺騙現象發生的前提。(1)建立DHCP伺服器保證MAC地址與IP地址唯一性:首先我們可以在windows 2000 server或其他伺服器版操作系統上啟用DHCP服務,為網吧建立一個DHCP伺服器,一般來說建議在網關上搭建。因為DHCP不佔用多少CPU,而且ARP欺騙攻擊一般總是先攻擊網關,攻擊網關的同時由於網關這里有監控程序,所以可以在第一時間發現攻擊行為。當然為了減少攻擊的發生氣率我們也可以把網關地址設置為網段的第二個地址,例如192.168.1.2,把192.168.1.另外所有客戶機的IP地址及其相關主機信息,只能由網關這里取得,網關這里開通DHCP服務,但是要給每個網卡,綁定固定唯一IP地址。一定要保持網內的機器IP/MAC一一對應的關系。這樣客戶機雖然是DHCP取地址,但每次開機的IP地址都是一樣的。以上這些綁定關系可以通過DHCP的地址池來解決,或者將客戶端獲得IP等網路參數信息的租約設置為一個非常長的時間,例如一年或者無限時間,這樣在此時間段里只要MAC地址不變,客戶端獲得的IP地址也是不變的。(如圖2) (2)建立MAC地址資料庫:把網吧內所有網卡的MAC地址記錄下來,每個MAC和IP、地理位置統統裝入資料庫,以便及時查詢備案。可以以Excel表格的形式,也可是保存成資料庫文件。(3)禁止ARP動態更新:為了防止網關被隨意攻擊,我們還需要在網關機器上關閉ARP動態刷新功能,這樣的話,即使非法用戶使用ARP欺騙攻擊網關的話,對網關是無效的,從而確保主機安全。在網關上建立靜態IP/MAC捆綁的方法如下。第一步:建立/etc/ethers文件,其中包含正確的IP/MAC對應關系,格式為192.168.2.32 08:00:4E:B0:24:47。第二步:然後在/etc/rc.d/rc.local最後添加arp -f生效即可。上面這個禁止ARP動態更新的方法是針對Linux系統而言的。
(4)網關監測:在網關上面使用TCPDUMP程序截取每個ARP程序包,弄一個腳本分析軟體分析這些ARP協議。ARP欺騙攻擊的包一般有以下兩個特點,滿足之一就可以視為攻擊包報警,第一是乙太網數據包頭的源地址、目標地址和ARP數據包的協議地址不匹配。第二是ARP數據包的發送和目標地址不在自己網路網卡MAC資料庫內,或者與自己網路MAC資料庫MAC/IP不匹配。我們也可以通過腳本分析軟體實現自動報警功能,最後查這些數據包(乙太網數據包)的源地址就大致知道那台機器在發起攻擊了。三,總結:ARP欺騙是目前網路治理,非凡是區域網治理中最讓人頭疼的攻擊,他的攻擊技術含量低,隨便一個人都可以通過攻擊軟體來完成ARP欺騙攻擊。同時防範ARP欺騙也沒有什麼非凡有效的方法。目前只能通過被動的亡羊補牢形式的措施了。本文介紹的兩個方法都是針對ARP欺騙防範的,希望對讀者有所幫助。當然很多網路治理軟體開發公司都推出了自己的防範ARP欺騙的產品,這些產品良莠不齊,大家選擇時更要仔細。 -資料引用: http://www.knowsky.com/376426.html
D. ARP攻擊的具體步驟是什麼
首先要明確arp是什麼。arp就是地址解析協議,通過他來完成ip到mac的映射。因為網路中的主機數不勝數,因此除非手動綁定,一般情況下這種從IP到MAC的ARP列表是動態的,根據最新來往的ip、mac地址實時更新。而ARP攻擊也正是利用了這種動態特性。
arp攻擊的種類有很多種,最簡單的一種就是發送簡單的arp欺騙包。其原理如下:假設現在有A、B、C三台主機。A想和C做通訊,於是A就在自己的報文前面添加C的IP地址,此時C的IP地址需要進行ARP地址解析,通過保存在A中的動態(或靜態)ARP列表從而找到C的MAC地址,然後該報文就可以在網路中准確找到C的位置並進行傳輸。此時如果B想進行ARP欺騙,它就向A發送ARP欺騙包,在這個包中B可以任意偽造自己的IP和MAC地址,如果他將自己的IP地址偽造成C的(此時A的arp動態列表就會是C的IP對應B的MAC),於是A發給C的報文就會發給B。這就造成了一種最簡單的ARP欺騙。同理可知,如果在這個例子中C不是一台主機,而是A網段上的網管,或者是一台A要訪問的伺服器,在這種情況下,就會出現上不了網的現象了。因為ARP攻擊一般是在某幾分鍾發送大量的ARP廣播欺騙包,在攻擊源不發包的情況下,因為正確的IP、MAC映射又會重新更正主機上的ARP動態列表,重新你可以上網,因此就會出現你描述的每隔幾分鍾掉一次線的現象。當然ARP的欺騙種類還有很多種,比如第三方欺騙還可以監聽經過你主機的所有信息流,盜取你的帳號、密碼信息等等。
至於防護的方法。ARP欺騙病毒可以在區域網內傳播,造成的影響就是區域網內某一台主機不停的向外發送ARP欺騙包,而區域網內其他用戶被攻擊。因為不是主機有意識的主動攻擊,因此當區域網內主機很多時,不太容易找到或者解決掉攻擊的源頭。所以對於ARP攻擊,防禦還是最好的方法。防禦的方法有很多種,如果是主機很少的小型區域網,甚至可以通過arp -s ip mac的方法進行手工ip、mac綁定,此時這個列表就變成靜態列表,杜絕了隱患,還應注意不是僅僅綁定好自己的機器就可以了,要進行主機、網關的雙重綁定。因此這種方法工作量也非常的大。如果是稍大區域網內的個人用戶,最簡單有效的方法是使用arp防火牆。我自己試驗過的arp防火牆有瑞星防火牆、360的ARP防火牆,彩影antiarp單機版防火牆。感覺前兩個作用多不明顯,最後一個彩影antiarp單機版效果比較明顯,雖然在查找攻擊源上面經常不太准確,但是作為arp防火牆基本夠用。建議你也可以使用這個。一般用戶可以當作防火牆來用,網管可以用它來參考分析攻擊源。
沒有復制粘貼別人的言論,希望我講的還算明白,對你有用。
E. arp -a顯示 動態和靜態是什麼意思
動態的是說過一定時間如果這個mac地址沒有用到過,就會被刪掉;靜態的會被永久保留
F. 為什麼在靜態arp表和動態arp表裡面,有相同mac地址的ip地址會有不同呢
靜態arp表的mac和ip是對應關系在設定之後就不再變化了,即使對應mac的ip地址發生了變化,也不會更新,必須手動更新。
動態arp表就智能一些,能夠自動將arp的mac和ip對應關系進行修改,已最新的數據包為准。
靜態arp表的好處在於可以防止arp攻擊,動態arp表的好處在於當mac和ip對應關系發生變動時,無需手動更改。
arp表是把主機的ip地址和mac地址進行對應的表。在進行互聯時候,設備通過arp表進行進行指揮數據的流向。
G. 怎樣用arp命令,將靜態改為動態
在命令提示符(cmd)下輸入這個命令:arp -d
H. ARP -A 得到的IP地址後面顯示「動態」是什麼意思,難道是指動態協議學習到的IP誰可以解釋下。
不是,動態只是當前你電腦中的ARP列表中自動獲取到的IP和MAC地址對應值。這個對應值是臨時的、非固定的,有可能同一IP在不同時段對應的MAC地址不同。如果使用ARP -S命令將IP和MAC地址固定下來,以後你的電腦在訪問這個IP時就只會按照固定的MAC地址訪問。
I. arp緩存表中什麼是動態arp什麼是靜態arp
會刷新。看參考。
在這里對其補充:
用「arp -s」可以手動在ARP表中指定IP地址與MAC地址的對應,類型為static(靜態),此項存在硬碟中,而不是緩存表,計算機重新啟動後仍然存在,且遵循靜態優於動態的原則,所以這個設置不對,可能導致無法上網.
J. arp 批處理文件自動運行後,用ARP -a 查看還是動態地址,需要手動運行才是靜態地址
arp 命令並通過「計劃任務程序」在啟動時運行該批處理文件。 只有當網際協議arp -a是用來查看地址解析表的 arp -a 可以顯示網關的IP和MAC 你可能中