arp命令使用详解
ARP命令
ARP命令一、ARP病毒现在已知的ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
第一种ARP欺骗的原理是——截获网关数据。
它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是——伪造网关。
它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。
在PC看来,就是上不了网了,―网络掉线了‖。
一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。
而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复。
防范ARP的方法:1、在路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。
有的路由器可以避免网关ARP欺骗,也避免维护网关的路由表。
原理是:为对抗假冒网关的ARP欺骗,采用网关的ARP广播机制,它以一个可选定的频次,向内网宣布正确的网关地址,维护网关的正当权益。
在暂时无法及时清除ARP病毒,网管员还没有做PC上的IP -MAC绑定时,它能在一定程度上维持网络的运行,避免灾难性后果,赢取系统修复的时间。
这就是ARP 主动防范机制。
为了一劳永逸,还是为每台PC做IP-MAC绑定,这样可以彻底避免ARP欺骗。
2、在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定。
设置方法:arp –a /*显示现有的ARP表*/arp –d /*删除所有*/arp -s 192.168.0.1 00-17-16-01-79-9b /*静态添加*/二、ARP命令详解显示和修改“地址解析协议(ARP)”缓存中的项目。
Arp命令用法大全
以下资料来源:/anlyren/archive/2007/10/08/study_arp.htmlIP数据包常通过以太网发送。
以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。
因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。
在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。
地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。
ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。
目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。
发送者将这个地址对高速缓存起来,以节约不必要的ARP通信如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。
这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。
ARP 机制常常是自动起作用的。
在特别安全的网络上,ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。
显示和修改“地址解析协议(ARP)”缓存中的项目。
ARP 缓存中包含一个或多个表,它们用于存储IP 地址及其经过解析的以太网或令牌环物理地址。
计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。
如果在没有参数的情况下使用,则arp 命令将显示帮助信息。
Arp是一个重要的TCp/Ip协议,并且用于确定对应Ip地址的网卡物理地址。
使用arp 命令,我们能够查看本地计算机或另一台计算机的ARp高速缓存中的当前内容。
此外,使用arp命令,也可以用人工方式输入静态的网卡物理/Ip地址对,我们可能会使用这种方式为缺省网关和本地服务器等常用主机进行这项作,有助于减少网络上的信息量。
按照缺省设置,A r p高速缓存中的项目是动态的,每当发送一个指定地点的数据报且高速缓存中不存在当前项目时,A r p便会自动添加该项目。
ARP命令详解和解决ARP攻击(双向绑定)
ARP命令详解和解决ARP攻击(双向绑定)ARP命令详解和解决ARP攻击(双向绑定)显示和修改“地址解析协议(ARP)”缓存中的项目。
ARP 缓存中包含一个或多个表,它们用于存储IP 地址及其经过解析的以太网或令牌环物理地址。
计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。
如果在没有参数的情况下使用,则arp 命令将显示帮助信息。
语法arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]参数-a[ InetAddr] [ -N IfaceAddr]显示所有接口的当前 ARP 缓存表。
要显示特定 IP 地址的 ARP 缓存项,请使用带有 InetAddr 参数的 arp -a,此处的 InetAddr 代表 IP 地址。
如果未指定InetAddr,则使用第一个适用的接口。
要显示特定接口的 ARP 缓存表,请将 -N IfaceAddr 参数与 -a 参数一起使用,此处的 IfaceAddr 代表指派给该接口的 IP 地址。
-N 参数区分大小写。
-g[ InetAddr] [ -N IfaceAddr]与 -a 相同。
-d InetAddr [IfaceAddr]删除指定的 IP 地址项,此处的 InetAddr 代表 IP 地址。
对于指定的接口,要删除表中的某项,请使用IfaceAddr 参数,此处的IfaceAddr 代表指派给该接口的 IP 地址。
要删除所有项,请使用星号(*) 通配符代替 InetAddr。
-s InetAddr EtherAddr [IfaceAddr]向ARP 缓存添加可将IP 地址InetAddr 解析成物理地址EtherAddr 的静态项。
要向指定接口的表添加静态 ARP 缓存项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接口的 IP 地址。
arp命令的使用方法
arp命令的使用方法ARP(Address Resolution Protocol)是一种用于将IP地址映射到物理MAC地址的协议。
在计算机网络中,每个设备都有一个唯一的MAC地址和一个IP地址。
ARP命令可以用来查询和操作本地ARP缓存,以及发送ARP请求和应答。
在本文中,我们将介绍ARP命令的使用方法,以及一些常见的应用场景。
一、查询本地ARP缓存使用ARP命令可以查看本地ARP缓存中的信息。
ARP缓存是一个存储IP地址和对应MAC地址的表格,用于加快IP地址到物理地址的映射过程。
要查询本地ARP缓存,可以使用以下命令:arp -a该命令将显示本地ARP缓存中的所有条目,包括IP地址、MAC地址和类型(静态或动态)。
通过查看ARP缓存,我们可以了解当前网络中的主机和其对应的MAC地址。
二、发送ARP请求使用ARP命令可以发送ARP请求,从而获取指定IP地址对应的MAC 地址。
发送ARP请求的命令格式如下:arp -s IP地址 MAC地址其中,IP地址是要查询的目标IP地址,MAC地址是目标IP地址对应的物理MAC地址。
通过发送ARP请求,我们可以主动获取指定主机的MAC地址。
三、清空本地ARP缓存有时候,由于网络配置或其他原因,本地ARP缓存中的信息可能会过期或不准确。
在这种情况下,我们可以使用ARP命令来清空本地ARP缓存,以便重新获取最新的MAC地址信息。
清空本地ARP缓存的命令如下:arp -d该命令将清空本地ARP缓存中的所有条目。
清空ARP缓存后,下次进行ARP查询时将重新获取最新的MAC地址信息。
四、设置静态ARP缓存除了动态获取MAC地址外,我们还可以手动设置静态ARP缓存。
静态ARP缓存是一种手动添加的ARP条目,可以在本地缓存中指定IP 地址和对应的MAC地址。
设置静态ARP缓存的命令格式如下:arp -s IP地址 MAC地址其中,IP地址是要设置的目标IP地址,MAC地址是目标IP地址对应的物理MAC地址。
linuxarp命令常用参数详解
linuxarp命令常⽤参数详解linux arp 命令常⽤参数详解显⽰和修改地址解析协议(ARP)使⽤的“IP 到物理”地址转换表。
ARP -s inet_addr eth_addr [if_addr]ARP -d inet_addr [if_addr]ARP -a [inet_addr] [-N if_addr] [-v]-a 通过询问当前协议数据,显⽰当前 ARP 项。
如果指定 inet_addr,则只显⽰指定计算机的 IP 地址和物理地址。
如果不⽌⼀个⽹络接⼝使⽤ ARP,则显⽰每个 ARP 表的项。
-g 与 -a 相同。
-v 在详细模式下显⽰当前 ARP 项。
所有⽆效项和环回接⼝上的项都将显⽰。
inet_addr 指定 Internet 地址。
-N if_addr 显⽰ if_addr 指定的⽹络接⼝的 ARP 项。
-d 删除 inet_addr 指定的主机。
inet_addr 可以是通配符 *,以删除所有主机。
-s 添加主机并且将 Internet 地址 inet_addr与物理地址 eth_addr 相关联。
物理地址是⽤连字符分隔的 6 个⼗六进制字节。
该项是永久的。
eth_addr 指定物理地址。
if_addr 如果存在,此项指定地址转换表应修改的接⼝的 Internet 地址。
如果不存在,则使⽤第⼀个适⽤的接⼝。
⽰例:添加静态项。
这个很有⽤,特别是局域⽹中中了arp病毒以后> arp -s 123.253.68.209 00:19:56:6F:87:D2> arp -a .... 显⽰ ARP 表。
但是arp -s 设置的静态项在⽤户登出之后或重起之后会失效,如果想要任何时候都不失效,可以将ip和mac的对应关系写⼊arp命令默认的配置⽂件/etc/ethers中例如:引⽤root@ubuntu:/# vi /etc/ethers211.144.68.254 00:12:D9:32:BF:44写⼊之后重起以下⽹络就好了。
Arp命令详解
ARP是一个重要的TCP/IP协议,并且用于确定对应IP地址的网卡物理地址。
实用arp 命令,我们能够查看本地计算机或另一台计算机的ARP高速缓存中的当前内容。
此外,使用arp命令,也可以用人工方式输入静态的网卡物理/IP地址对,我们可能会使用这种方式为缺省网关和本地服务器等常用主机进行这项作,有助于减少网络上的信息量。
按照缺省设置,ARP高速缓存中的项目是动态的,每当发送一个指定地点的数据报且高速缓存中不存在当前项目时,ARP便会自动添加该项目。
一旦高速缓存的项目被输入,它们就已经开始走向失效状态。
例如,在Windows NT/2000网络中,如果输入项目后不进一步使用,物理/IP地址对就会在2至10分钟内失效。
因此,如果ARP高速缓存中项目很少或根本没有时,请不要奇怪,通过另一台计算机或路由器的ping命令即可添加。
所以,需要通过arp命令查看高速缓存中的内容时,请最好先ping 此台计算机(不能是本机发送ping命令)。
语法:arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]参数:-a[ InetAddr] [ -N IfaceAddr]:显示所有接口的当前ARP 缓存表。
要显示特定IP 地址的ARP 缓存项,请使用带有InetAddr 参数的arp -a,此处的InetAddr 代表IP 地址。
如果未指定InetAddr,则使用第一个适用的接口。
要显示特定接口的ARP 缓存表,请将-N IfaceAddr 参数与-a 参数一起使用,此处的IfaceAddr 代表指派给该接口的IP 地址。
-N 参数区分大小写。
-g[ InetAddr] [ -N IfaceAddr]:与-a 相同。
-d InetAddr [IfaceAddr]: 删除指定的IP 地址项,此处的InetAddr 代表IP 地址。
如何使用arp命令在Linux中手动添加和删除ARP缓存项
如何使用arp命令在Linux中手动添加和删除ARP缓存项ARP(Address Resolution Protocol)是一个用于将IP地址转换为MAC地址的网络协议,它在局域网中起着至关重要的作用。
在Linux 系统中,我们可以使用arp命令来手动添加和删除ARP缓存项,以解决网络通信故障或安全问题。
本文将为您详细介绍如何在Linux中使用arp命令来手动添加和删除ARP缓存项,帮助您更好地管理网络连接和保证网络安全。
一、ARP(Address Resolution Protocol)概述ARP(Address Resolution Protocol)是一种用于将IP地址转换为对应的物理MAC地址的网络协议,它在TCP/IP协议族中属于链路层协议,用于解析IP地址和MAC地址之间的映射关系。
当一台主机需要与同一网络中的另一台主机进行通信时,它会首先在自己的ARP缓存表中查找目标主机的MAC地址,如果找到则直接发送数据,如果没有找到则通过广播的方式发送ARP请求,请求目标主机回应其MAC地址。
二、arp命令基本用法在Linux系统中,我们可以使用arp命令来查看、添加和删除ARP 缓存项。
下面是arp命令的基本用法:1. 查看ARP缓存表要查看当前主机的ARP缓存表,只需在终端中输入以下命令:```arp -n```该命令将显示出当前主机ARP缓存表中的内容,包括IP地址和对应的MAC地址。
2. 添加ARP缓存项如果需要手动添加ARP缓存项,可以使用以下命令:```sudo arp -s <IP地址> <MAC地址>```其中,<IP地址>为目标主机的IP地址,<MAC地址>为目标主机的MAC地址。
使用此命令可以将目标主机的IP地址和对应的MAC地址手动添加到ARP缓存表中。
3. 删除ARP缓存项如果需要手动删除ARP缓存项,可以使用以下命令:```sudo arp -d <IP地址>```其中,<IP地址>为目标主机的IP地址。
利用arp命令在Linux中查看和管理ARP缓存表
利用arp命令在Linux中查看和管理ARP缓存表ARP(Address Resolution Protocol)是一种用于将IP地址转换为MAC地址的协议,在计算机网络中起着重要的作用。
在Linux系统中,我们可以使用arp命令来查看和管理ARP缓存表,该命令提供了一些功能强大的选项,可以帮助我们更好地了解和管理网络连接。
一、查看ARP缓存表使用arp命令可以查看当前系统中的ARP缓存表,该表中记录了IP 地址与MAC地址之间的对应关系。
通过以下命令可以查看ARP缓存表:$ arp -n该命令会显示出ARP缓存表的详细信息,包括IP地址、MAC地址、类型等。
这些信息可以帮助我们了解当前系统中的网络连接状态。
二、清除ARP缓存表有时候,由于网络连接的变化或其他原因,ARP缓存表中的某些条目可能已经过期或者现在无效。
我们可以使用arp命令来清除这些无效的条目,保持ARP缓存表的更新。
$ sudo arp -d <IP地址>使用上述命令可以清除ARP缓存表中特定IP地址的条目。
需要注意的是,需要使用sudo来获取管理员权限执行该命令。
同时,我们也可以使用以下命令清除整个ARP缓存表:$ sudo ip -s -s neigh flush all该命令会立即清除整个ARP缓存表,并将其重置为空表。
需要使用sudo来获取管理员权限执行该命令。
三、动态添加ARP缓存表项除了自动通过网络连接来添加ARP缓存表项外,我们还可以手动添加ARP缓存表项,以实现更精确的网络连接控制。
$ sudo arp -s <IP地址> <MAC地址>使用该命令可以将指定的IP地址与MAC地址添加到ARP缓存表中。
需要使用sudo来获取管理员权限执行该命令。
需要注意的是,手动添加的ARP缓存表项只在当前系统重启前有效,重启后会被清除。
四、其他ARP命令选项除了上述常用的命令选项外,arp命令还提供了其他一些功能强大的选项,用于更灵活地管理ARP缓存表。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
arp命令使用详解(1)显示和修改“地址解析协议 (ARP)”缓存中的项目。
ARP 缓存中包含一个或多个表,它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。
计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。
如果在没有参数的情况下使用,则 arp 命令将显示帮助信息。
语法arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]参数-a[ InetAddr] [ -N IfaceAddr]显示所有接口的当前 ARP 缓存表。
要显示特定 IP 地址的 ARP 缓存项,请使用带有InetAddr 参数的 arp -a,此处的 InetAddr 代表 IP 地址。
如果未指定 InetAddr,则使用第一个适用的接口。
要显示特定接口的 ARP 缓存表,请将 -N IfaceAddr 参数与 -a 参数一起使用,此处的 IfaceAddr 代表指派给该接口的 IP 地址。
-N 参数区分大小写。
-g[ InetAddr] [ -N IfaceAddr]与 -a 相同。
-d InetAddr [IfaceAddr]删除指定的 IP 地址项,此处的 InetAddr 代表 IP 地址。
对于指定的接口,要删除表中的某项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接口的 IP 地址。
要删除所有项,请使用星号 (*) 通配符代替 InetAddr。
-s InetAddr EtherAddr [IfaceAddr]向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。
要向指定接口的表添加静态 ARP 缓存项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接口的 IP 地址。
/?在命令提示符下显示帮助。
注释? InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。
? EtherAddr 的物理地址由六个字节组成,这些字节用十六进制记数法表示并且用连字符隔开(比如,00-AA-00-4F-2A-9C)。
arp 命令处理系统的 ARP 缓存,可以清除缓存中的地址映射,建立新的地址映射;语法:arp [-v][-n][-H type][-i if] -a [hostname]arp [-v][-i if] -d hostname [pub]arp [-v][-H type][-i if] -s hostname hw_addr [temp]arp [-v][-H type][-i if] -s hostname hw_addr [netmask nm] pubarp [-v][-H type][-i if] -Ds hostname ifa [netmask nm] pubarp [-v][-n][-D][-H type][-i if] -f [filename]该命令的各选项含义如下:-v 显示详细信息;-n 以数字地址形式显示;-i If选择界面;-H type设置和查询arp缓存时检查 type 类型的地址;-a [hostname] 显示指定 hostname 的所有入口;arp命令使用详解(2)-d hostname 删除指定 hostname 的所有入口;-D 使用ifa硬件地址界面;-s hostname hw_addr 手工加入 hostname 的地址映射;-f filename 从指定文件中读入 hostname 和硬件地址信息-s hostname hw_addr 手工加入 hostname 的地址映射;采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定安全网关的IP和MAC地址:1)首先,获得安全网关的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC 地址为0022aa0022aa)。
2)编写一个批处理文件rarp.bat内容如下:@echo offarp -darp -s 192.168.16.254 00-22-aa-00-22-aa将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windowsà开始à程序à启动”中。
3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。
Windows2000的默认启动目录为“C:\Documents and Settings\All Users「开始」菜单程序启动”。
we are also finding something a beautiful feeling … it is easy to know u are happy so i am happyARP绑定功能使用帮助ARP协议是处于数据链路层的网络通信协议,它完成IP地址到物理地址(即MAC地址)的转换功能。
而ARP病毒正是通过伪造IP地址和MAC地址实现ARP欺骗,导致数据包不能发到正确的MAC地址上去,会在网络中产生大量的ARP通信量使网络阻塞,从而导致网络无法进行正常的通信。
中了ARP病毒的主要症状是,机器之前可正常上网的,突然出现不能上网的现象(无法ping 通网关),重启机器或在MS-DOS窗口下运行命令“arp –d”后,又可恢复上网一段时间。
有的情况是可以上网,但网速奇慢。
目前带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等,这些软件中,有些是人为手工操作来破坏网络的,有些是作为病毒或者木马出现,使用者可能根本不知道它的存在,这样的ARP病毒的杀伤力不可小觑。
从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对路由器ARP表的欺骗;另一种是对内网电脑ARP表的欺骗,当然也可能两种攻击同时进行。
不管理怎么样,欺骗发生后,电脑和路由器之间发送的数据就被送到错误的MAC地址上。
从而导致了上面的症状的发生。
ARP绑定是防止ARP欺骗的有效方法,就是把IP地址与相应的MAC地址进行绑定来避免ARP 欺骗。
ARP欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种,因此MAC地址绑定也有路由器ARP表的绑定和电脑上ARP表的绑定。
两个方面的设置都是必须的,不然,如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑,电脑被欺骗后就不会把数据包发送到路由器上,而是发送到一个错误的地方,当然无法上网和访问路由器了arp命令使用详解(3)-、路由器ARP表绑定设置视具体路由器而定。
比如安庆教育网使用的是Quidway Eudemon 500/1000防火墙。
兼用路由器。
他的命令是:# 配置客户机IP地址和MAC地址到地址绑定关系中。
[Eudemon] firewall mac-binding 202.169.168.1 00e0-fc00-0100# 使能地址绑定功能。
[Eudemon] firewall mac-binding enable二、电脑ARP绑定设置Windows操作系统带有ARP命令程序,可以在Windows的命令提示符下就用这个命令来完成ARP绑定。
打开Windows命令提示符,输入“arp –a”,可以查看当前电脑上的ARP映射表。
可以看到当前的ARP表的类型是“dynamic”,即动态的,通过“arp –s w.x.y.z aa-bb-cc-dd-ee-ff”命令来添加静态ARP实现ARP绑定。
其中w.x.y.z 代表路由器的IP地址,aa-bb-cc-dd-ee-ff代表路由器的MAC地址。
例如:arp -s 192.168.1.1 00-02-b3-3c-16-95再输入“arp -a”就可以看到刚才添加的静态ARP条目了。
为了不必每次重启电脑后都要重新输入上面的命令来实现防止ARP欺骗,可以新建一个批处理文件如arp_bind.bat。
在里面加入我们刚才的命令:arp -s 192.168.1.1 00-02-b3-3c-16-95保存就可以了,以后可以通过双击它来执行这条命令,还可以把它放置到系统的启动目录下来实现启动时自己执行。
打开电脑“开始”->“程序”,双击“启动”打开启动的文件夹目录,把刚才建立的arp_bind.bat复制到里面去。
这样每次重启都会执行ARP绑定命令,通过这些设置,就可以很好的防止ARP攻击了。
-局域网出现“arp欺骗”木马用户无法上网的解决(转)今天早上朋友单位很多电脑突然无法上网,请我过去看看,到了之后询问之下,这个情况在多台电脑上出现,并且很多电脑都是XP SP2的系统,而且开启了防火墙。
但仔细观察发现大部分电脑都是开启了文件和打印机共享服务,由于这个服务开放的137、138、139、445端口正是病毒常用的入侵端口,因此特别需要注意,如果没必要的话,还是建议别开放,或者在防火墙的设置上关闭这个服务的端口。
今天出现的部分用户无法上网现象和以前经常遇到的集体瘫痪有所不同,用sniffer观察一段时间后症状并不明显,联想到现在比较流行的arp欺骗木马就找了一台无法上网的电脑,运行cmd,输入arp -a发现出现多个地址,并且出现不同的IP地址对应的MAC是一样的,因此基本确定是中了arp欺骗。
以下说明下处理这种情况的方法:首先进入命令行模式然后运行arp -a命令,该命令是查看当前arp表,可以确认网关和对应的mac地址arp命令使用详解(4)正常情况下会出现类似如下的提示:Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type192.168.1.1 00-01-02-03-04-05 dynamic如果192.168.1.1为网关,那么00-01-02-03-04-05就是网关服务器网卡的MAC地址,比对这个MAC是否和真的服务器网卡MAC一致,如果不一致就是被欺骗,会造成用户无法上网。
而被欺骗的电脑可能会出现多个IP出现同样的MAC,出现错乱。
这个时候记住要记下那个网关IP对应的错误MAC地址,这个地址很可能是中了木马的电脑,这个可以方便接下来的查杀。
确认之后,可以输入arp -d命令,以删除当前计算机的arp表,方便重新建立arp表。
接下来可以绑定正确的arp网关,输入arp -s 192.168.1.1 00-0e-18-34-0d-56再用arp -a查看Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type192.168.1.1 00-0e-18-34-0d-56 static这时,类型变为静态(static),就不会再受攻击影响了。