arp命令

一、netstat命令 显示协议统计信息和当前 TCP/IP 网络连接。 NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [-p proto] [-r] [-s] [-x] [-t] [interval] -a #显示所有连接和侦听端口。 -b #显示在创建每个连接或侦听端口时涉及的可执行程序。在某些情况下，已知可执行程序承载多个独立的组件，这些情况下，显示创建连接或侦听端口时 #涉及的组件序列。在此情况下，可执行程序的名称位于底部 [] 中，它调用的组件位于顶部，直至达到 TCP/IP。注意，此选项 可能很耗时，并且在你没有足够 #权限时可能失败。 -e #显示以太网统计信息。此选项可以与 -s 选项结合使用。 -f #显示外部地址的完全限定域名(FQDN)。 -n #以数字形式显示地址和端口号。 -o #显示拥有的与每个连接关联的进程 ID。 -p proto #显示 proto 指定的协议的连接；proto #可以是下列任何一个: TCP、UDP、TCPv6 或 UDPv6。如果与 -s #选项一起用来显示每个协议的统计信息，proto 可以是下列任何一个: #IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。 -q #显示所有连接、侦听端口和绑定的非侦听 TCP 端口。绑定的非侦听端口不一定与活动连接相关联。

一、ＡＲＰ 详解　： 地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。 二、 ＡＲＰ　缓存　： （2）为使广播量最小，ARP维护IP地址到MAC地址映射的缓存以便将来使用。ARP缓存可以包含动态和静态项目。动态项目随时间推移自动添加和删除。每个动态ARP缓存项的潜在生命周期是10分钟。新加到缓存中的项目带有时间戳，如果某个项目添加后2分钟内没有再使用，则此项目过期并从ARP缓存中删除；如果某个项目已在使用，则又收到2分钟的生命周期

近期网络中 ARP 病毒流行，我校校园网内也发现许多电脑中毒，对同一局域网内的其他用户造成了较大的影响。此病毒为木马病毒附带的一种欺骗病毒，这些计算机病毒一般都是利用 ARP 协议的漏洞进行危害活动。 被攻击的电脑现象 被欺骗电脑的典型症状是刚开机能上网，几分钟之后断网，过一会又能上网，或者重启一遍电脑就可以上网，一会又不好了，如此不断重复，造成校园网的不稳定，影响正常使用。重启机器或在 MSDOS 窗口下运行命令 ARP -d 后，又可恢复上网一段时间。 ARP 病毒原理 电脑中毒后会向同网段内所有计算机发 ARP 欺骗包，从而致使同一网段地址内的其它机器误将其作为网关，导致网络内其它电脑因网关物理地址被更改而无法上网，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。 ARP 病毒手动处理方法 步骤一在网关地址栏内输入您的网关 IP 地址。获取网关地址的方法：打开一个 DOS 窗口， 输入命令 ipconfig/all 后回车，得到如图结果： 图中 “Default Gateway” 行显示的就是您的网关地址（ 注：各网段的网关地址是不一样的，切记：请不要照搬 ）。 步骤二 . 如果已经有网关的正确 MAC 地址，手工将网关 IP 和正确 MAC 绑定，可确保计算机不再被攻击影响。手工绑定可在 MS-DOS 窗口下运行以下命令： arp –s 网关 IP 网关 MAC

【起因】： 同学得电脑不知道是自己更改了什么配置，然后呢，就一直连不上无线，可是苦了她了，好长时间也没有找到解决方法，就一直搁置着。前几天，我去他们宿舍玩，她跟我说了一下他电脑得症状，我说拿出来我看看吧，（虽然自己没有遇见过这个问题吧，但是什么事情都要敢于尝试嘛，说不定会有意外收获呢 ）！ 【过程】： 网络连接不上，然后修复一下，显示"与DHCP服务不能正常连接"。DHCP？什么鬼，之前听都没听过。不过不用担心，我有法宝--度娘，了解到，原来【DHCP】通俗来说，就是 自动给电脑分配IP地址，和子网掩码的服务器 。知道了它是干什么么得了，然后我想：会不会是它关闭了呢，然后导致不能电脑获取不了ip地址，上不了网呢？开启方法：控制面板---管理工具---服务--DHCP Clicent ,然后将它开启。我以为就OK了呢，然后呢，超乎我想象，还是不好，继续探索吧，终于“功夫不负有心人”，找到病原体了，下面介绍一下我的方法吧！ （1）清空arp缓存表，然后重新获取ip "win+R"----“cmd” (2）输入命令：arp-a , 查看arp缓存表；输入命令：arp-d,清除arp缓存表 （3）输入命令：ipconfig _release,释放由DHCP获取得动态ip地址 （4）输入命令： ipconfig _renew,重新获取ip地址，这时候就能获取到ip了，如果一次不可以

问题 访问一个网站，从本地访问很快，但是从客户端访问大概要等待3秒的样子。在服务器放上静态网页，在客户端访问则返回时间很快。 排错步骤 在客户端访问问题网站，在客户端用wireshark抓包 用tcp 三次握手及客户端请求与服务器返回的ACK来判断是否存在线路或者服务器忙问题，发现不是。348-349 显示出服务器响应很快。 349-498 之间用了3.28秒，说明这是服务器应用的问题。 让开发人员调查服务器端的应用，开发人员说之前有个小功能可以抓取客户端MAC地址，但是看到抓的包，应该不是用的客户端的代码，因为第一个web页响应就3秒多，要是客户端代码那也是后续的JS或者资源加载较慢。 不管三七二十一，在服务器端也抓了下包。过滤下arp 和http的包看看,过滤后发现有三个ARP请求，但是没有对应回应。另外仔细看ARP请求的具体内容也不对，服务器用ARP请求去解析客户端的MAC地址应该是不对的，原因是服务器和客户端不在一个网段，正常的跨网段的ARP请求是同一个网段才会用的，如果跨网段那应该去解析路由器的MAC地址。所以这些ARP请求有问题。 开发人员注释掉了客户端ARP地址查询的代码。访问速度瞬间提升了。 开发人员同时注意到客户端ARP地址查询的结果为00-00-00-00-00-00，和我们的服务器上的抓包结果一致，因为去请求一个跨网段IP地址的MAC，所以目标地址不会收到