1. 如何設置arp緩存更新時間(已解決)
設置arp緩存老化時間設置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife
REG_DWORD
0-0xFFFFFFFF(秒數,默認值為120秒)
ArpCacheMinReferencedLife
REG_DWORD
0-0xFFFFFFFF(秒數,默認值為600)
說明:如果ArpCacheLife大於或等於ArpCacheMinReferencedLife,則引用或未引用的ARP
緩存項在ArpCacheLife秒後到期.如果ArpCacheLife小於ArpCacheMinReferencedLife,
未引用項在ArpCacheLife秒後到期,而引用項在ArpCacheMinReferencedLife秒後到期.
每次將出站數據包發送到項的IP地址時,就會引用ARP緩存中的項。
2. 解釋ARP緩存表
在區域網的管理維護中,網管可能經常碰到用戶之間不能互訪,或者不能上網際網路的問題,一般是IP地址設置錯誤、相關軟體設置錯誤、網線網卡或其他網路產品壞了。但有時在排除以上可能後,問題仍然存在。這個時候我們可以研究一下用戶計算機上的ARP緩存表是否有問題.區域網中計算機之間的通信,都是通過正確的ARP表來進行數據通信,而且都是系統自動建立維持的。
1.自己的緩存表有錯誤
比如在圖1中,PC 1中的ARP緩存表有這樣一個記錄。
IP地址:192.168. 0.9
MAC地址:00-aa-00-62-c6-09
很顯然,這時PC 1是無法訪問PC 2上的數據,但是它可以和PC 3通信,也可以通過Router上網際網路。那麼這樣一個記錄是如何來的呢?這時我們應該想到區域網內有惡意程序或者有人在人為操縱。因為一般來講ARP表是系統自動維護的,但也可以人為製作一個ARP數據包更新緩存表。比如上例中:如果PC 3向PC 1發送一個ARP數據包,告訴它PC 2的MAC地址是00-aa-00-62-c6-09 ,那麼在PC 1里就有一個錯誤的記錄。如果PC 3不停地發送,那麼PC 1就一直保持這樣一個錯誤記錄,也就一直不能訪問PC 2上的數據。如果忽略這個錯誤就會出現,PC 1能訪問除PC 2以外的其他任何一台計算機,能上網,而就是無法訪問PC 2,但相應的設置又正確無誤,想不出來問題到底出在哪裡。
2.對方的緩存表有錯誤
如果PC 1中的ARP緩存表是正確的記錄。
IP地址:192.168. 0.9
MAC地址:00-aa-00-62-c6-08
而PC 3向PC 2不停地發送一個ARP數據包,告訴它錯誤的PC 1的MAC地址,在PC 2的ARP緩存表就一直保持這樣一個記錄。
IP地址:192.168. 0.2
MAC地址:00-aa-00-62-c6-09
PC 2就無法訪問PC 1。
應對措施
目前,對於這種通過ARP數據包欺騙、破壞緩存表沒有很好的應對措施。通過實踐我認為有以下幾種方法可以應對一下。
1.手動更新ARP緩存表
比如上例中,在PC 1中執行「Arp -a 192.168. 0.9 00-aa-00-62-c6-08」的命令。
但如果有程序在不停地發送錯誤的ARP數據包,這種方法就無法應付了。
2.查出元兇
在PC 1上,執行ping 192.168.0.9 -t的命令,然後讓別人在中心機房把網線一根根拔掉,一旦發現能夠ping通後,就能通過那條網線,順藤摸瓜揪出搞破壞的元兇了。這是最笨也是最實用的方法
3. 如何查看arp緩存表
1、同時按「win」 + "R" 鍵,會跳出一個彈框出來,輸出cmd,可以打開終端。
4. windows下arp緩存刷新間隔為多久
當 IP 通過共享訪問、基於廣播的網路技術(例如乙太網或 802.11 無線 LAN)發送數據包時,協議必須能夠解析與數據包要轉發到的節點的 IPv4 地址(又稱下一躍點 IPv4 地址)相對應的媒體訪問控制 (MAC) 地址。正如 RFC 826 所定義的,ARP 使用 MAC 級廣播將下一躍點 IPv4 地址解析為它們的相應 MAC 地址。
在轉發數據包時,IPv4 基於目標 IPv4 地址和路由確定過程來決定下一躍點 IPv4 地址和介面。然後,IPv4 將 IPv4 數據包、下一躍點 IPv4 地址和下一躍點介面傳遞給 ARP。
為將數據包的下一躍點的 IPv4 地址解析為它的 MAC 地址,ARP 使用共享訪問網路技術(例如乙太網或 802.11)上的廣播工具來發送一個廣播 ARP 請求幀。作為響應,發送方會收到一個 ARP 應答幀,其中包含與數據包的下一躍點的 IPv4 地址相對應的 MAC 地址。
ARP 緩存
為最大限度地減少廣播 ARP 請求幀的數量,許多 TCP/IP 協議實現都包含一個 ARP 緩存,它是一個記錄了最近解析過的 IPv4 地址及其相應的 MAC 地址的表。在發送 ARP 請求幀之前,ARP 將首先檢查此緩存。每個介面都有其自己的 ARP 緩存。
5. ARP高速緩存表由哪幾項組成
高速緩存表用項目數組來實現,每個項目包括以下欄位:
狀態:表示項目的狀態.其值為FREE(已超時),PENDING(已發送請求但未應答)或RESOLVED(已經應答).
硬體類型,協議類型,硬體地址長度,協議地址長度:與ARP分組中的相應欄位相同.
介面號:對應路由器的不同介面.
隊列號:ARP使用不同的隊列將等待地址解析的分組進行排隊.發往同一個目的地的分組通常放在同一個隊列中.
嘗試:表示這個項目發送出了多少次的ARP請求.
超時:表示一個項目以秒為單位的壽命.
硬體地址:目的硬體地址,應答返回前保持為空.
協議地址:目的高層協議地址如IP地址
1、在每一行上最多顯示 5 個文件名或列出指定目錄及所有回響請求信息到目的將用於系統關閉的定時器設置為 xx 秒。默認值是 20 秒。 -l 注銷當前
2、發送DHCPdiscover也可以讓電腦發送廣播幀,只要給路由器配好DHCP功能然後讓pc獲取即可。
3、命令式 #show arp 這個可以查看所有arp列表 看這個 一般是看不出來的 建議瞧一下 show ip int bri 看看埠狀態列表 如果路由器的網段和PC機不在同一個網段 記得加一條路由 0.0.0.0 .0.0.0.0 接下一條的IP地址 加一條預設路由
4、1、 添加靜態項,例子: arp -s 157.55.85.212 00-aa-00-62-c6-09 2、顯示arp緩存表: arp -a 3、刪除arp緩存條目: arp -d 157.55.85.212 arp -d * 則刪除arp緩存內的所有主機arp表。
6. 什麼是arp緩存表
arp_tbl是一個類型為struct
neigh_table的全局變數,它是一個ARP的緩存表,也稱為鄰居表。協議棧通過ARP協議獲取到的網路上鄰居主機的IP地址與MAC地址的對應關系都會保存在這個表中,以備下次與鄰居通訊時使用,同時,ARP模塊自身也會提供一套相應的機制來更新和維護這個鄰居表
7. ARP緩存如何清除
關於Arp病毒及解決方法基本ARP介紹 ARP 「Address Resolution Protocol」(地址解析協議),區域網中,網路中實際傳輸的是「幀」,幀裡面是有目標主機的MAC地址的。所謂「地址解析」就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。 ARP協議的工作原理:在每台安裝有TCP/IP協議的電腦里都有一個ARP緩存表,表裡的IP地址與MAC地址是一一對應的,如表所示。 我們以主機A(192.168.1.5)向主機B(192.168.1.1)發送數據為例。當發送數據時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀裡面發送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網路上發送一個廣播,目標MAC地址是「FF.FF.FF.FF.FF.FF」,這表示向同一網段內的所有主機發出這樣的詢問:「192.168.1.1的MAC地址是什麼?」網路上其它主機並不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應:「192.168.1.1的MAC地址是00-aa-00-62-c6-09。」這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表。ARP Spoofing攻擊原理分析 在區域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的。ARP協議對網路安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網路中產生大量的ARP通信量使網路阻塞或者實現「man in the middle」 進行ARP重定向和嗅探攻擊。 用偽造源MAC地址發送ARP響應包,對ARP高速緩存機制的攻 擊。 每個主機都用一個ARP高速緩存存放最近IP地址到MAC硬體地址之間的映射記錄。MS Windows高速緩存中的每一條記錄(條目)的生存時間一般為60秒,起始時間從被創建時開始算起。 默認情況下,ARP從緩存中讀取IP-MAC條目,緩存中的IP-MAC條目是根據ARP響應包動態變化的。因此,只要網路上有ARP響應包發送到本機,即會更新ARP高速緩存中的IP-MAC條目。 攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網路中斷或中間人攻擊。 ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和 MAC地址存儲在ARP緩存中。因此,B向A發送一個自己偽造的ARP應答,而這個應答中的數據為發送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC,這里被偽造了)。當A接收到B偽造的ARP應答,就會更新本地的ARP緩存(A可不知道被偽造了)。 當攻擊源大量向區域網中發送虛假的ARP信息後,就會造成區域網中的機器ARP緩存的崩潰。 Switch上同樣維護著一個動態的MAC緩存,它一般是這樣,首先,交換機內部有一個對應的列表,交換機的埠對應MAC地址表Port n <-> Mac記錄著每一個埠下面存在那些MAC地址,這個表開始是空的,交換機從來往數據幀中學習。因為MAC-PORT緩存表是動態更新的,那麼讓整個 Switch的埠表都改變,對Switch進行MAC地址欺騙的Flood,不斷發送大量假MAC地址的數據包,Switch就更新MAC-PORT緩存,如果能通過這樣的辦法把以前正常的MAC和Port對應的關系破壞了,那麼Switch就會進行泛洪發送給每一個埠,讓Switch基本變成一個 HUB,向所有的埠發送數據包,要進行嗅探攻擊的目的一樣能夠達到。也將造成Switch MAC-PORT緩存的崩潰,如下下面交換機中日誌所示: Internet 172.20.156.10000b.cd85.a193 ARPAVlan256Internet 172.20.156.50000b.cd85.a193 ARPAVlan256Internet 172.20.156.254 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.53 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.33 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.130000b.cd85.a193
8. 「arp.exe嘗試修改arp緩存表(172.16.112.1:00-04-96-05-3c-3c),已攔截!」是什麼意思
你好!
首先可以肯定這個不費內存。
arp緩存在你的電腦里記錄了近期的IP地址和MAC地址的對應表。重啟後清空,每條對應信息也有默認的老化時間,這個時間可以修改,具體的修改方法是:
設置arp緩存老化時間設置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值為120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值為600)
說明:如果ArpCacheLife大於或等於ArpCacheMinReferencedLife,則引用或未引用的ARP
緩存項在ArpCacheLife秒後到期.如果ArpCacheLife小於ArpCacheMinReferencedLife,
未引用項在ArpCacheLife秒後到期,而引用項在ArpCacheMinReferencedLife秒後到期.
每次將出站數據包發送到項的IP地址時,就會引用ARP緩存中的項。
你可以在CMD中輸入「arp -a」查看你本機現在ARP緩存表中的內容。
ARP防火牆有監控ARP緩存表的功能,如果其中某條對應變換頻繁,那麼,ARP防火牆就會認為這是一次ARP攻擊,提示並阻止。這也是ARP防火牆的一項基本功能。
9. ARP緩存表問題
你好,
你綁定的網路IP與你本機的IP不在一個網段內,所以ARP綁定無效。
舉例說明
假設你的主機IP及網關如下:
IP:192.168.10.10/24
網關:192.168.10.1
被綁定的IP需是你主機IP所在網段內的IP(192.168.10.0/24)才有效!
例如:
如果你綁定的IP與你本機不在一個網段內,你的數據包會自動拋向你的網關,這個時候你需要獲取的是你網關的IP與MAC對應關系。而你之前綁定的網路IP與MAC的對應根本就用不到。
如果你綁定了網關192.168.10.1與錯誤的MAC相對應,那麼你針對所有你所在網段以外的地址的訪問,例如1.1.1.1、網路地址等,都無法訪問。
如果你綁定了你所在網段內某主機192.168.10.20/24的IP與MAC對應,那麼你將不能訪問該主機。
以上,供參考,有問題 M 我
10. pc收到不是自己的arp廣播請求pc會更新arp緩存表嗎
答案是可能會也可能不會。
是這樣:在同一區域網內,A(我)要和B通信(只知道B的IP),我就要發一個arp請求的包,當然所有的主機都會收到這個包,當主機C也收到這個請求時,就會和自己的arp緩存對比,如果arp中無此IP的記錄,就直接忽略,如果有此IP的MAC記錄,就會更新這個IP---MAC記錄(一般是這樣)。
但是如果開啟了arp報文學習功能,對於沒有過記錄的IP,會新建一個arp表項,記下A的IP----MAC。
如果關閉了arp報文學習功能,對於沒有過記錄IP也不會新建arp表項,就不會記下A的IP和MAC地址。但是如果曾經有過A的IP---MAC記錄,就檢查一下這個MAC和當前收到的arp包中的MAC是否一樣,不一樣就會更新A的MAC。