A. arp -a arp -d 分别什么意思 说白话 详细点
arp -a 显示pc mac地址,arp -d 清除所有mac地址
arp有动态学习和静态绑定两种。
截图上两个动态的是正常学习到得,后面静态是pc自己生成的,不影响正常上网
判断arp攻击很简单,如果上不了网,用arp -a查看网关ip(一般是192.168.1.1)对应的mac地址是不是正确的。
怎么判断网关mac正确?平时正常上网时记下网关mac,出问题时一对比就知道是否有攻击
B. 两次运行cmd输入arp -a后显示如下图。为什么显示不同,多出来那么多是怎么回事
arp -a即是查看本地局域网内所有用户ip和mac地址绑定关系的一个命令.
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。
所以两次不一样是很正常的
C. sniffer捕获的arp数据包是怎样生成
sniffer是网络治理的好工具,网络中传输的所有数据包都可以通过sniffer来检测。同样arp欺骗数据包也逃不出sniffer的监测范围。一般来说ARP欺骗数据包没有留下发送虚假信息的主机地址,但是承载这个ARP包的ethernet帧却包含了他的源地址。而且正常情况下ethernet数据帧中,帧头里的MAC源地址/目标地址应该和帧数据包中ARP信息配对,这样的ARP包才算是正确的。假如不正确,肯定是假冒的包,当然假如匹配的话,我们也不能过于放松,一样不能代表是正确的,另外通过检测到的数据包再结合网关这里拥有的本网段所有MAC地址网卡数据库,看看哪个和Mac数据库中数据不匹配,这样就可以找到假冒的ARP数据包,并进一步找到兇手了。关于MAC地址网卡数据库可以在第一次装系统的时候进行记录,将网吧座位号与MAC地址等信息做一个对应表格。查看MAC地址的方法是通过“开始->运行”,进入命令提示窗口,然后输入ipconfig /all。在physical address的右边就是相应网卡的MAC地址。(如图1) 点击查看大图二,DHCP结合静态捆绑法:要想彻底避免ARP欺骗的发生,我们需要让各个计算机的MAC地址与IP地址唯一且相对应。虽然我们可以通过为每台计算机设置IP地址的方法来治理网络,但是碰到那些通过ARP欺骗非法攻击的用户来说,他可以事先自己手动更改IP地址,这样检查起来就更加复杂了,所以说保证每台计算机的MAC地址与IP地址唯一是避免ARP欺骗现象发生的前提。(1)建立DHCP服务器保证MAC地址与IP地址唯一性:首先我们可以在windows 2000 server或其他服务器版操作系统上启用DHCP服务,为网吧建立一个DHCP服务器,一般来说建议在网关上搭建。因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,攻击网关的同时由于网关这里有监控程序,所以可以在第一时间发现攻击行为。当然为了减少攻击的发生气率我们也可以把网关地址设置为网段的第二个地址,例如192.168.1.2,把192.168.1.另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。以上这些绑定关系可以通过DHCP的地址池来解决,或者将客户端获得IP等网络参数信息的租约设置为一个非常长的时间,例如一年或者无限时间,这样在此时间段里只要MAC地址不变,客户端获得的IP地址也是不变的。(如图2) (2)建立MAC地址数据库:把网吧内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。可以以Excel表格的形式,也可是保存成数据库文件。(3)禁止ARP动态更新:为了防止网关被随意攻击,我们还需要在网关机器上关闭ARP动态刷新功能,这样的话,即使非法用户使用ARP欺骗攻击网关的话,对网关是无效的,从而确保主机安全。在网关上建立静态IP/MAC捆绑的方法如下。第一步:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式为192.168.2.32 08:00:4E:B0:24:47。第二步:然后在/etc/rc.d/rc.local最后添加arp -f生效即可。上面这个禁止ARP动态更新的方法是针对Linux系统而言的。
(4)网关监测:在网关上面使用TCPDUMP程序截取每个ARP程序包,弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点,满足之一就可以视为攻击包报警,第一是以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。第二是ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。我们也可以通过脚本分析软件实现自动报警功能,最后查这些数据包(以太网数据包)的源地址就大致知道那台机器在发起攻击了。三,总结:ARP欺骗是目前网络治理,非凡是局域网治理中最让人头疼的攻击,他的攻击技术含量低,随便一个人都可以通过攻击软件来完成ARP欺骗攻击。同时防范ARP欺骗也没有什么非凡有效的方法。目前只能通过被动的亡羊补牢形式的措施了。本文介绍的两个方法都是针对ARP欺骗防范的,希望对读者有所帮助。当然很多网络治理软件开发公司都推出了自己的防范ARP欺骗的产品,这些产品良莠不齐,大家选择时更要仔细。 -资料引用: http://www.knowsky.com/376426.html
D. ARP攻击的具体步骤是什么
首先要明确arp是什么。arp就是地址解析协议,通过他来完成ip到mac的映射。因为网络中的主机数不胜数,因此除非手动绑定,一般情况下这种从IP到MAC的ARP列表是动态的,根据最新来往的ip、mac地址实时更新。而ARP攻击也正是利用了这种动态特性。
arp攻击的种类有很多种,最简单的一种就是发送简单的arp欺骗包。其原理如下:假设现在有A、B、C三台主机。A想和C做通讯,于是A就在自己的报文前面添加C的IP地址,此时C的IP地址需要进行ARP地址解析,通过保存在A中的动态(或静态)ARP列表从而找到C的MAC地址,然后该报文就可以在网络中准确找到C的位置并进行传输。此时如果B想进行ARP欺骗,它就向A发送ARP欺骗包,在这个包中B可以任意伪造自己的IP和MAC地址,如果他将自己的IP地址伪造成C的(此时A的arp动态列表就会是C的IP对应B的MAC),于是A发给C的报文就会发给B。这就造成了一种最简单的ARP欺骗。同理可知,如果在这个例子中C不是一台主机,而是A网段上的网管,或者是一台A要访问的服务器,在这种情况下,就会出现上不了网的现象了。因为ARP攻击一般是在某几分钟发送大量的ARP广播欺骗包,在攻击源不发包的情况下,因为正确的IP、MAC映射又会重新更正主机上的ARP动态列表,重新你可以上网,因此就会出现你描述的每隔几分钟掉一次线的现象。当然ARP的欺骗种类还有很多种,比如第三方欺骗还可以监听经过你主机的所有信息流,盗取你的帐号、密码信息等等。
至于防护的方法。ARP欺骗病毒可以在局域网内传播,造成的影响就是局域网内某一台主机不停的向外发送ARP欺骗包,而局域网内其他用户被攻击。因为不是主机有意识的主动攻击,因此当局域网内主机很多时,不太容易找到或者解决掉攻击的源头。所以对于ARP攻击,防御还是最好的方法。防御的方法有很多种,如果是主机很少的小型局域网,甚至可以通过arp -s ip mac的方法进行手工ip、mac绑定,此时这个列表就变成静态列表,杜绝了隐患,还应注意不是仅仅绑定好自己的机器就可以了,要进行主机、网关的双重绑定。因此这种方法工作量也非常的大。如果是稍大局域网内的个人用户,最简单有效的方法是使用arp防火墙。我自己试验过的arp防火墙有瑞星防火墙、360的ARP防火墙,彩影antiarp单机版防火墙。感觉前两个作用多不明显,最后一个彩影antiarp单机版效果比较明显,虽然在查找攻击源上面经常不太准确,但是作为arp防火墙基本够用。建议你也可以使用这个。一般用户可以当作防火墙来用,网管可以用它来参考分析攻击源。
没有复制粘贴别人的言论,希望我讲的还算明白,对你有用。
E. arp -a显示 动态和静态是什么意思
动态的是说过一定时间如果这个mac地址没有用到过,就会被删掉;静态的会被永久保留
F. 为什么在静态arp表和动态arp表里面,有相同mac地址的ip地址会有不同呢
静态arp表的mac和ip是对应关系在设定之后就不再变化了,即使对应mac的ip地址发生了变化,也不会更新,必须手动更新。
动态arp表就智能一些,能够自动将arp的mac和ip对应关系进行修改,已最新的数据包为准。
静态arp表的好处在于可以防止arp攻击,动态arp表的好处在于当mac和ip对应关系发生变动时,无需手动更改。
arp表是把主机的ip地址和mac地址进行对应的表。在进行互联时候,设备通过arp表进行进行指挥数据的流向。
G. 怎样用arp命令,将静态改为动态
在命令提示符(cmd)下输入这个命令:arp -d
H. ARP -A 得到的IP地址后面显示“动态”是什么意思,难道是指动态协议学习到的IP谁可以解释下。
不是,动态只是当前你电脑中的ARP列表中自动获取到的IP和MAC地址对应值。这个对应值是临时的、非固定的,有可能同一IP在不同时段对应的MAC地址不同。如果使用ARP -S命令将IP和MAC地址固定下来,以后你的电脑在访问这个IP时就只会按照固定的MAC地址访问。
I. arp缓存表中什么是动态arp什么是静态arp
会刷新。看参考。
在这里对其补充:
用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应,类型为static(静态),此项存在硬盘中,而不是缓存表,计算机重新启动后仍然存在,且遵循静态优于动态的原则,所以这个设置不对,可能导致无法上网.
J. arp 批处理文件自动运行后,用ARP -a 查看还是动态地址,需要手动运行才是静态地址
arp 命令并通过“计划任务程序”在启动时运行该批处理文件。 只有当网际协议arp -a是用来查看地址解析表的 arp -a 可以显示网关的IP和MAC 你可能中