1. 如何设置arp缓存更新时间(已解决)
设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife
REG_DWORD
0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife
REG_DWORD
0-0xFFFFFFFF(秒数,默认值为600)
说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP
缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife,
未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.
每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。
2. 解释ARP缓存表
在局域网的管理维护中,网管可能经常碰到用户之间不能互访,或者不能上因特网的问题,一般是IP地址设置错误、相关软件设置错误、网线网卡或其他网络产品坏了。但有时在排除以上可能后,问题仍然存在。这个时候我们可以研究一下用户计算机上的ARP缓存表是否有问题.局域网中计算机之间的通信,都是通过正确的ARP表来进行数据通信,而且都是系统自动建立维持的。
1.自己的缓存表有错误
比如在图1中,PC 1中的ARP缓存表有这样一个记录。
IP地址:192.168. 0.9
MAC地址:00-aa-00-62-c6-09
很显然,这时PC 1是无法访问PC 2上的数据,但是它可以和PC 3通信,也可以通过Router上因特网。那么这样一个记录是如何来的呢?这时我们应该想到局域网内有恶意程序或者有人在人为操纵。因为一般来讲ARP表是系统自动维护的,但也可以人为制作一个ARP数据包更新缓存表。比如上例中:如果PC 3向PC 1发送一个ARP数据包,告诉它PC 2的MAC地址是00-aa-00-62-c6-09 ,那么在PC 1里就有一个错误的记录。如果PC 3不停地发送,那么PC 1就一直保持这样一个错误记录,也就一直不能访问PC 2上的数据。如果忽略这个错误就会出现,PC 1能访问除PC 2以外的其他任何一台计算机,能上网,而就是无法访问PC 2,但相应的设置又正确无误,想不出来问题到底出在哪里。
2.对方的缓存表有错误
如果PC 1中的ARP缓存表是正确的记录。
IP地址:192.168. 0.9
MAC地址:00-aa-00-62-c6-08
而PC 3向PC 2不停地发送一个ARP数据包,告诉它错误的PC 1的MAC地址,在PC 2的ARP缓存表就一直保持这样一个记录。
IP地址:192.168. 0.2
MAC地址:00-aa-00-62-c6-09
PC 2就无法访问PC 1。
应对措施
目前,对于这种通过ARP数据包欺骗、破坏缓存表没有很好的应对措施。通过实践我认为有以下几种方法可以应对一下。
1.手动更新ARP缓存表
比如上例中,在PC 1中执行“Arp -a 192.168. 0.9 00-aa-00-62-c6-08”的命令。
但如果有程序在不停地发送错误的ARP数据包,这种方法就无法应付了。
2.查出元兇
在PC 1上,执行ping 192.168.0.9 -t的命令,然后让别人在中心机房把网线一根根拔掉,一旦发现能够ping通后,就能通过那条网线,顺藤摸瓜揪出搞破坏的元兇了。这是最笨也是最实用的方法
3. 如何查看arp缓存表
1、同时按“win” + "R" 键,会跳出一个弹框出来,输出cmd,可以打开终端。
4. windows下arp缓存刷新间隔为多久
当 IP 通过共享访问、基于广播的网络技术(例如以太网或 802.11 无线 LAN)发送数据包时,协议必须能够解析与数据包要转发到的节点的 IPv4 地址(又称下一跃点 IPv4 地址)相对应的媒体访问控制 (MAC) 地址。正如 RFC 826 所定义的,ARP 使用 MAC 级广播将下一跃点 IPv4 地址解析为它们的相应 MAC 地址。
在转发数据包时,IPv4 基于目标 IPv4 地址和路由确定过程来决定下一跃点 IPv4 地址和接口。然后,IPv4 将 IPv4 数据包、下一跃点 IPv4 地址和下一跃点接口传递给 ARP。
为将数据包的下一跃点的 IPv4 地址解析为它的 MAC 地址,ARP 使用共享访问网络技术(例如以太网或 802.11)上的广播工具来发送一个广播 ARP 请求帧。作为响应,发送方会收到一个 ARP 应答帧,其中包含与数据包的下一跃点的 IPv4 地址相对应的 MAC 地址。
ARP 缓存
为最大限度地减少广播 ARP 请求帧的数量,许多 TCP/IP 协议实现都包含一个 ARP 缓存,它是一个记录了最近解析过的 IPv4 地址及其相应的 MAC 地址的表。在发送 ARP 请求帧之前,ARP 将首先检查此缓存。每个接口都有其自己的 ARP 缓存。
5. ARP高速缓存表由哪几项组成
高速缓存表用项目数组来实现,每个项目包括以下字段:
状态:表示项目的状态.其值为FREE(已超时),PENDING(已发送请求但未应答)或RESOLVED(已经应答).
硬件类型,协议类型,硬件地址长度,协议地址长度:与ARP分组中的相应字段相同.
接口号:对应路由器的不同接口.
队列号:ARP使用不同的队列将等待地址解析的分组进行排队.发往同一个目的地的分组通常放在同一个队列中.
尝试:表示这个项目发送出了多少次的ARP请求.
超时:表示一个项目以秒为单位的寿命.
硬件地址:目的硬件地址,应答返回前保持为空.
协议地址:目的高层协议地址如IP地址
1、在每一行上最多显示 5 个文件名或列出指定目录及所有回响请求信息到目的将用于系统关闭的定时器设置为 xx 秒。默认值是 20 秒。 -l 注销当前
2、发送DHCPdiscover也可以让电脑发送广播帧,只要给路由器配好DHCP功能然后让pc获取即可。
3、命令式 #show arp 这个可以查看所有arp列表 看这个 一般是看不出来的 建议瞧一下 show ip int bri 看看端口状态列表 如果路由器的网段和PC机不在同一个网段 记得加一条路由 0.0.0.0 .0.0.0.0 接下一条的IP地址 加一条缺省路由
4、1、 添加静态项,例子: arp -s 157.55.85.212 00-aa-00-62-c6-09 2、显示arp缓存表: arp -a 3、删除arp缓存条目: arp -d 157.55.85.212 arp -d * 则删除arp缓存内的所有主机arp表。
6. 什么是arp缓存表
arp_tbl是一个类型为struct
neigh_table的全局变量,它是一个ARP的缓存表,也称为邻居表。协议栈通过ARP协议获取到的网络上邻居主机的IP地址与MAC地址的对应关系都会保存在这个表中,以备下次与邻居通讯时使用,同时,ARP模块自身也会提供一套相应的机制来更新和维护这个邻居表
7. ARP缓存如何清除
关于Arp病毒及解决方法基本ARP介绍 ARP “Address Resolution Protocol”(地址解析协议),局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 ARP协议的工作原理:在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如表所示。 我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的MAC地址是什么?”网络上其它主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09。”这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表。ARP Spoofing攻击原理分析 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。 用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻 击。 每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录(条目)的生存时间一般为60秒,起始时间从被创建时开始算起。 默认情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此,只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和 MAC地址存储在ARP缓存中。因此,B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。 当攻击源大量向局域网中发送虚假的ARP信息后,就会造成局域网中的机器ARP缓存的崩溃。 Switch上同样维护着一个动态的MAC缓存,它一般是这样,首先,交换机内部有一个对应的列表,交换机的端口对应MAC地址表Port n <-> Mac记录着每一个端口下面存在那些MAC地址,这个表开始是空的,交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的,那么让整个 Switch的端口表都改变,对Switch进行MAC地址欺骗的Flood,不断发送大量假MAC地址的数据包,Switch就更新MAC-PORT缓存,如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了,那么Switch就会进行泛洪发送给每一个端口,让Switch基本变成一个 HUB,向所有的端口发送数据包,要进行嗅探攻击的目的一样能够达到。也将造成Switch MAC-PORT缓存的崩溃,如下下面交换机中日志所示: Internet 172.20.156.10000b.cd85.a193 ARPAVlan256Internet 172.20.156.50000b.cd85.a193 ARPAVlan256Internet 172.20.156.254 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.53 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.33 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.130000b.cd85.a193
8. “arp.exe尝试修改arp缓存表(172.16.112.1:00-04-96-05-3c-3c),已拦截!”是什么意思
你好!
首先可以肯定这个不费内存。
arp缓存在你的电脑里记录了近期的IP地址和MAC地址的对应表。重启后清空,每条对应信息也有默认的老化时间,这个时间可以修改,具体的修改方法是:
设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP
缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife,
未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.
每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。
你可以在CMD中输入“arp -a”查看你本机现在ARP缓存表中的内容。
ARP防火墙有监控ARP缓存表的功能,如果其中某条对应变换频繁,那么,ARP防火墙就会认为这是一次ARP攻击,提示并阻止。这也是ARP防火墙的一项基本功能。
9. ARP缓存表问题
你好,
你绑定的网络IP与你本机的IP不在一个网段内,所以ARP绑定无效。
举例说明
假设你的主机IP及网关如下:
IP:192.168.10.10/24
网关:192.168.10.1
被绑定的IP需是你主机IP所在网段内的IP(192.168.10.0/24)才有效!
例如:
如果你绑定的IP与你本机不在一个网段内,你的数据包会自动抛向你的网关,这个时候你需要获取的是你网关的IP与MAC对应关系。而你之前绑定的网络IP与MAC的对应根本就用不到。
如果你绑定了网关192.168.10.1与错误的MAC相对应,那么你针对所有你所在网段以外的地址的访问,例如1.1.1.1、网络地址等,都无法访问。
如果你绑定了你所在网段内某主机192.168.10.20/24的IP与MAC对应,那么你将不能访问该主机。
以上,供参考,有问题 M 我
10. pc收到不是自己的arp广播请求pc会更新arp缓存表吗
答案是可能会也可能不会。
是这样:在同一局域网内,A(我)要和B通信(只知道B的IP),我就要发一个arp请求的包,当然所有的主机都会收到这个包,当主机C也收到这个请求时,就会和自己的arp缓存对比,如果arp中无此IP的记录,就直接忽略,如果有此IP的MAC记录,就会更新这个IP---MAC记录(一般是这样)。
但是如果开启了arp报文学习功能,对于没有过记录的IP,会新建一个arp表项,记下A的IP----MAC。
如果关闭了arp报文学习功能,对于没有过记录IP也不会新建arp表项,就不会记下A的IP和MAC地址。但是如果曾经有过A的IP---MAC记录,就检查一下这个MAC和当前收到的arp包中的MAC是否一样,不一样就会更新A的MAC。