ARP學(xué)習(xí)筆記

這幾天差不多一直跟ARP攻擊者做斗爭， 那么什么是ARP呢？ARP（地址轉(zhuǎn)換協(xié)議）是一個重要的TCP/IP協(xié)議， 并且用于確定對應(yīng)Ip地址的網(wǎng)卡物理地址（MAC地址）。 使用arp命令， 我們能夠查看本地計算機或另一臺計算機的ARp高速緩存中的當前內(nèi)容。 此外， 使用arp命令， 也可以用人工方式輸入靜態(tài)的網(wǎng)卡物理/IP地址， 我們可能會使用這種方式為缺省網(wǎng)關(guān)和本地服務(wù)器等常用主機進行這項作， 有助于減少網(wǎng)絡(luò)上的信息量。

    但是MAC地址只能在本地網(wǎng)絡(luò)中使用， 假如我們的局域網(wǎng)中有子路由器， 那么這個路由器下的所有機器在訪問這個局域網(wǎng)的時候， 機器的網(wǎng)卡物理地址都會被路由器的MAC地址所代替。

    按照缺省設(shè)置， ARP高速緩存中的項目是動態(tài)的， 每當發(fā)送一個指定地點的數(shù)據(jù)報且高速緩存中不存在當前項目時， ARP便會自動添加該項目。 一旦高速緩存的項目被輸入， 它們就已經(jīng)開始走向失效狀態(tài)。 例如， 在Windows NT/2000網(wǎng)絡(luò)中， 如果輸入項目后不進一步使用， 物理/Ip地址對就會在2至10分鐘內(nèi)失效。 因此， 如果ARP高速緩存中項目很少或根本沒有時， 請不要奇怪， 通過另一臺計算機或路由器的ping命令即可添加。 所以， 需要通過arp命令查看高速緩存中的內(nèi)容時， 請最好先ping 此臺計算機（不能是本機發(fā)送ping命令）。

    ARP常用命令選項：

    arp -a或arp –g

    用于查看高速緩存中的所有項目。 -a和-g參數(shù)的結(jié)果是一樣的， 多年來-g一直是UNIX平臺上用來顯示ARP高速緩存中所有項目的選項， 而Windows用的是arp -a（-a可被視為all， 即全部的意思）， 但它也可以接受比較傳統(tǒng)的-g選項。

         如果我們有多個網(wǎng)卡， 那么使用arp -a將分別顯示兩塊網(wǎng)卡的ARP高速緩存。

        arp -s IP 物理地址        我們可以向ARP高速緩存中人工輸入一個靜態(tài)項目。 該項目在計算機引導(dǎo)過程中將保持有效狀態(tài)， 或者在出現(xiàn)錯誤時， 人工配置的物理地址將自動更新該項目。

        arp -d IP        使用本命令能夠人工刪除一個靜態(tài)項目。

        基本的命令就是這樣的。 每個包都會將MAC地址發(fā)送到ARP高速緩存， 這樣的話， ARP攻擊者不就現(xiàn)身了嘛！