arp欺騙命令

1. ARP 名稱解釋

地址解析協議，即ARP(Address Resolution Protocol)，是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到網路上的所有主機，並接收返回消息，以此確定目標的物理地址;收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間，下次請求時直接查詢ARP緩存以節約資源。地址解析協議是建立在網路中各個主機互相信任的基礎上的，網路上的主機可以自主發送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存;由此攻擊者就可以向某一主機發送偽ARP應答報文，使其發送的信息無法到達預期的主機或到達錯誤的主機，這就構成了一個ARP欺騙。ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關系、添加或刪除靜態對應關系等。相關協議有RARP、代理ARP。NDP用於在IPv6中代替地址解析協議。

2. 內網遭遇ARP攻擊查找方法

有點長，請慢慢看\(^o^)/~
1、清空ARP緩存：大家可能都曾經有過使用ARP的指令法解決過ARP欺騙問題，該方法是針對ARP欺騙原理進行解決的。一般來說ARP欺騙都是通過發送虛假的MAC地址與IP地址的對應ARP數據包來迷惑網路設備，用虛假的或錯誤的MAC地址與IP地址對應關系取代正確的對應關系。若是一些初級的ARP欺騙，可以通過ARP的指令來清空本機的ARP緩存對應關系，讓網路設備從網路中重新獲得正確的對應關系，具體解決過程如下：第一步：通過點擊桌面上任務欄的「開始」->「運行」，然後輸入cmd後回車，進入cmd(黑色背景)命令行模式；第二步：在命令行模式下輸入arp
-a命令來查看當前本機儲存在本地系統ARP緩存中IP和MAC對應關系的信息；第三步：使用arp
-d命令，將儲存在本機系統中的ARP緩存信息清空，這樣錯誤的ARP緩存信息就被刪除了，本機將重新從網路中獲得正確的ARP信息，達到區域網機器間互訪和正常上網的目的。如果是遇到使用ARP欺騙工具來進行攻擊的情況，使用上述的方法完全可以解決。但如果是感染ARP欺騙病毒，病毒每隔一段時間自動發送ARP欺騙數據包，這時使用清空ARP緩存的方納鋒法將無能為力了。下面將接收另外一種，可以解決感染ARP欺騙病毒的方法。2、指定ARP對應關系：其實該方法就是強制指定ARP對應關系。由於絕大部分ARP欺騙病毒都是針對網關MAC地址進行攻擊的，使本機上ARP緩存中存儲的網關設備的洞棗晌信息出現紊亂，這樣當機器要上網發送數據包給網關時就會因為地址錯誤而失敗，造成計算機無法上網。第一步：我們假設網關地址的MAC信息為00-14-78-a7-77-5c，對應的IP地址為192.168.2.1。指定ARP對應關系就是指這些地址。在感染了病毒的機器上，點擊桌面->任務欄的「開始」->「運行」，輸入cmd後回車，進入cmd命令行模式；第二步：使用arp
-s命令來添加一條ARP地址對應關系，岩型
例如arp
-s
192.168.2.1
00-14-78-a7-77-5c命令。這樣就將網關地址的IP與正確的MAC地址綁定好了，本機網路連接將恢復正常了；第三步：因為每次重新啟動計算機的時候，ARP緩存信息都會被全部清除。所以我們應該把這個ARP靜態地址添加指令寫到一個批處理文件（例如：bat）中，然後將這個文件放到系統的啟動項中。當程序隨系統的啟動而載入的話，就可以免除因為ARP靜態映射信息丟失的困擾了。3、添加路由信息應對ARP欺騙：一般的ARP欺騙都是針對網關的，那麼我們是否可以通過給本機添加路由來解決此問題呢。只要添加了路由，那麼上網時都通過此路由出去即可，自然也不會被ARP欺騙數據包干擾了。第一步：先通過點擊桌面上任務欄的「開始」->「運行」，然後輸入cmd後回車，進入cmd(黑色背景)命令行模式；第二步：手動添加路由，詳細的命令如下：刪除默認的路由:
route
delete
0.0.0.0;添加路由:route
add
-p
0.0.0.0
mask
0.0.0.0
192.168.1.254
metric
1;確認修改:route
change此方法對網關固定的情況比較適合，如果將來更改了網關，那麼就需要更改所有的客戶端的路由配置了。

3. ARP欺騙攻擊是什麼意思

ARP欺騙，或ARP攻擊，是針對乙太網春野握地址解析協議（ARP）的一種攻擊技術。

通過欺騙區域網內訪問者PC的網關MAC地址，使訪問者PC錯以為攻擊者更改後的MAC地址是網關的MAC，導致網路不通。此種攻擊可讓攻扒慶擊者獲取區域網上的數據包甚至可篡改數據包，且可讓網上上特定計算機或所有計算機無法正常連線。

ARP欺騙的運作原理是由攻擊者發送假的ARP數據包到網上，尤其是送到網關上。其目的是要讓送至特定的IP地址的流量被錯誤送到攻擊者所取代的地方。

(3)arp欺騙命令擴展閱讀

防制方法：

最理想的防制方法是網上內的每台計算機的ARP一律改用靜態的方式，不過這在大型的網上是不可行的，因為需要經常更新每台計算機的ARP表。

另外一種方法，例如DHCP snooping，網上設備可藉由DHCP保留網上上各計算機的MAC地址，在偽造的ARP數據包發出時即可偵測到。此方式已在一些廠牌的網上設備產品所支持。

有一些軟體可監聽網上上的ARP回應，若偵脊察測出有不正常變動時可發送郵箱通知管理者。例如UNIX平台的Arpwatch以及Windows上的XArp v2或一些網上設備的Dynamic ARP inspection功能。

4. ARP欺騙是什麼

ARP欺騙的種類ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。 第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，並按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，「網路掉線了」。 一般來說，ARP欺騙攻擊的後果非常嚴重，大多數情況下會造成大面積掉線。有些網管員對此不甚了解，出現故障時，認為PC沒有問題，交換機沒掉線的「本事」，電信也不承認寬頻故障。而且如果第一種ARP欺騙發生時，只要重啟路由器，網路就能全面恢復，那問題一定是在路由器了。為此，寬頻路由器背了不少「黑鍋」。 arp欺騙－網路執法官的原理在網路執法旦圓官中，要想限制某台機器上網，只要點擊"網卡"菜單中的"許可權"，選擇指定的網卡號或在用戶列表中點擊該網卡所在行，從右鍵菜單中選擇"許可權"，在彈出的對話框中即可限制該用戶的許可權。對於未登記網卡，可以這樣限定其上線：只要設定好所有已知用戶（登記）後，將網卡的默認許可權改為禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC，使其找不到網關真正的MAC地址，這樣就可以禁止其上網。 區域網ARP欺騙的應對一、故障現象及原因分析情況一、當區域網內某台主機感染了ARP病毒時，會向本區域網內（指某一網段，比如：10.10.75.0這一段）所有主機發送ARP欺騙攻擊謊稱自己是這個網端的網關設備，讓原本流向網關的流量改道流向病毒主機，造成受害者正常上網。情況二、區域網內有某些用戶使用了ARP欺騙程序（如：網路執法官,QQ盜號軟體等）發送ARP欺騙數據包，致使被攻擊的電腦出現突然不能上網，過一段時間又能上網，反復掉線的現象。關於APR欺騙的具體原理請看我收集的資料ARP欺騙的原理二、故障診斷如果用戶發現以上疑似情況，可以通過如下操作進行診斷：點擊「開始」按鈕->選擇「運行」->輸入「arp–d」->點擊「確定」按鈕，然後重新嘗試上網，如果能恢復正常，則說明此次掉線可能是受ARP欺騙所致。註：arp-d命令用於清除並重建本機arp表。arp–d命令並不能抵禦ARP欺騙，執行後仍有可能再次遭受ARP攻擊。三、故障處理1、中毒者：建議使用趨勢科技SysClean工具或其他殺毒軟體清除病毒。2、被害者：(1)綁定網關mac地址。具體方法如下：1）首先，獲得路由器的內網的MAC地址（例如網關地址10.10.75.254的MAC地址為0022aa0022aa）。2）編寫一個批處理文件AntiArp.bat內容如下： @echooffarp-darp-s10.10.75.25400-22-aa-00-22-aa將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可，計算機重新啟動後需要重新進行綁定，因此我們可以將該批處友神理文件AntiArp.bat文件拖到「windows--開始--程序--啟動」中。這樣開機時這個批處理就被執行了。(2)使用ARP防火牆(例如AntiArp)軟體抵禦ARP攻擊。AntiArp軟體會在提示框內出現病毒主機的MAC地址四，找出ARP病毒源第一招：使用Sniffer抓包在網路內任意一台主機上運行抓包軟體，捕獲所有到達本機的數據包。如果發現有某個IP不斷發送ARPRequest請求包，那麼這台電腦一般就是病毒源。原理：無論何種ARP病毒變種，行為方式有兩種，一是欺騙網關，二是欺騙網內的所有主機。最終的結果是，在網關的ARP緩存表中，網內所有活動主機的MAC地址均為中毒主機的MAC地址；網內所有主機的ARP緩存表中，網關的MAC地址也成為中毒主機的MAC地址。前者保證了從網關到網內主機的數據包被發到中毒主機，後者相反，使得主機發往網關的數據包均模告塌發送到中毒主機。第二招：使用arp-a命令任意選兩台不能上網的主機，在DOS命令窗口下運行arp-a命令。例如在結果中，兩台電腦除了網關的IP，MAC地址對應項，都包含了192.168.0.186的這個IP，則可以斷定192.168.0.186這台主機就是病毒源。原理：一般情況下，網內的主機只和網關通信。正常情況下，一台主機的ARP緩存中應該只有網關的MAC地址。如果有其他主機的MAC地址，說明本地主機和這台主機最後有過數據通信發生。如果某台主機