arp为什么不需要服务器

⑴ 关于ARP的问题

你一定是和别人共用网线的吧！

别人用ARP欺诈想限制你的网速！

在mcd中键入ipconfig -all就可以看到自己的真实mac地址了！

资料：

地址转换协议（ARP）是用来实现 IP 地址与本地网络认知的物理地址（以太网 MAC 地址）之间的映射。
反向地址转换协议（RARP）允许局域网的物理机器从网关服务器的 ARP 表或者缓存上请求其 IP 地址
IPV4 中， IP 地址长为 32 位。然而在以太局域网络中，设备地址长为 48 位。有一张表格，通常称为 ARP 缓冲（ARP cache），来维持每个 MAC 地址与其相应的 IP 地址之间的对应关系。 ARP 提供一种形成该对应关系的规则以及提供双向地址转换。
InARP 是 ARP 的补充协议以支持帧中继环境下的 ARP 。

网络管理员在局域网网关路由器里创建一个表以映射物理地址（MAC）和与其对应的 IP 地址。当设置一台新的机器时，其 RARP 客户机程序需要向路由器上的 RARP 服务器请求相应的 IP 地址。假设在路由表中已经设置了一个记录， RARP 服务器将会返回 IP 地址给机器，此机器就会存储起来以便日后使用。

ARP攻击的故障现象

当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

防范措施

建立DHCP服务器 采取 IP跟MAC的绑定~~~

第二就是网关机器关闭ARP动态刷新的过程 也就是不用动态的路由 用静态的路由表``

网关监听网络安全 在网关上运行个 网络剪刀手 或者 网络执法官吧...

其实ARP攻击真的是很难解决的...主要还是个人的人品问题 网络安全 网络稳定是大家一起维护的...

⑵ 什么叫ARP ，原理是什么。

http://ke..com/view/32698.htm
工作原理

[ARP]

ARP
在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。

[ARP工作原理]

ARP工作原理
以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标IP地址，主机A就会在网络上发送一个广播，A主机MAC地址是“主机A的MAC地址”，这表示向同一网段内的所有主机发出这样的询问：“我是192.168.1.5，我的硬件地址是"主机A的MAC地址".请问IP地址为192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时A和B还同时都更新了自己的ARP缓存表（因为A在询问的时候把自己的IP和MAC地址一起告诉了B），下次A再向主机B或者B向A发送信息时，直接从各自的ARP缓存表里查找就可以了。ARP缓存表采用了老化机制（即设置了生存时间TTL），在一段时间内（一般15到20分钟）如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。
RARP的工作原理：
1． 发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址；
2． 本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址；
3． 如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；
4． 如果不存在，RARP服务器对此不做任何的响应；
5． 源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。
6．如果在第1-3中被ARP病毒攻击，则服务器做出的反映就会被占用，源主机同样得不到RARP服务器的响应信息，此时并不是服务器没有响应而是服务器返回的源主机的IP被占用。

⑶ arp协议的主要功能

主要功能是将IP地址解析为物理地址。

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址。

收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。

由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。

⑷ 最近的ARP是怎么回事对家庭宽带有影响么

简单说:其实ARP可以理解了ARP欺骗攻击.这是一个针对于局域网的攻击手法.

假如你的电脑在一个局域网,就算你的电脑安全,但你不能保证别人的电脑也安全.假如这时,你的一个网上邻居(同一局域网)的电脑被黑客攻击并控制,这时黑客在它的电脑上植入ARP木马程序.发送欺骗请求,(就好比领工资一样,它冒用你的名字去领你的工资)那么你电脑的所有数据都经过它的电脑(被控制的电脑),这样你的个人上网信息(当然包括密码就)都被非法获取!

更多专业知识:
当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。其他用户原来直接通过安全网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。

首先说一下什么是ARP。如果你在UNIX Shell下输入 arp -a (9x下也是），你的输出看起来应该是这样的：

Interface: xxx.xxx.xxx.xxx

Internet Address Physical Address Type

xxx.xxx.xxx.xxx 00-00-93-64-48-d2 dynamic

xxx.xxx.xxx.xxx 00-00-b4-52-43-10 dynamic

...... ......... ....

这里第一列显示的是ip地址，第二列显示的是和ip地址对应的网络接口卡的硬件地址（MAC），第三列是该ip和mac的对应关系类型。

可见，arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议，或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。

为什么要将ip转化成mac呢？简单的说，这是因为在tcp网络环境下，一个ip包走到哪里，要怎么走是靠路由表定义。但是，当ip包到达该网络后，哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别。也就是说，只有机器的mac地址和该ip包中的mac地址相同的机器才会应答这个ip包。因为在网络中，每一台主机都会有发送ip包的时候。所以，在每台主机的内存中，都有一个 arp--> mac 的转换表。通常是动态的转换表（注意在路由中，该arp表可以被设置成静态）。也就是说，该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的mac地址而决定的。

通常主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的mac地址。如果没有找到，该主机就发送一个ARP广播包，看起来象这样子：

"我是主机xxx.xxx.xxx.xxx , mac是xxxxxxxxxxx ,ip为xxx.xxx.xxx.xx1的主机请告之你的mac来"

ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为：

"我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2"

于是，主机刷新自己的ARP缓存，然后发出该ip包。

了解这些常识后，现在就可以谈在网络中如何实现ARP欺骗了，可以看看这样一个例子：

一个入侵者想非法进入某台主机，他知道这台主机的防火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机，所以他要这么做：

1、他先研究192.0.0.3这台主机，发现这台95的机器使用一个oob就可以让他死掉。

2、于是，他送一个洪水包给192.0.0.3的139口，于是，该机器应包而死。

3、这时，主机发到192.0.0.3的ip包将无法被机器应答，系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。

4、这段时间里，入侵者把自己的ip改成192.0.0.3

5、他发一个ping(icmp 0)给主机，要求主机更新主机的arp转换表。

6、主机找到该ip，然后在arp表中加入新的ip-->mac对应关系。

7、防火墙失效了，入侵的ip变成合法的mac地址，可以telnet了。
现在，假如该主机不只提供telnet，它还提供r命令（rsh,r,rlogin等）那么，所有的安全约定将无效，入侵者可以放心的使用这台主机的资源而不用担心被记录什么。

有人也许会说，这其实就是冒用ip嘛。是冒用了ip,但决不是ip欺骗，ip欺骗的原理比这要复杂的多，实现的机理也完全不一样。

上面就是一个ARP的欺骗过程，这是在同网段发生的情况。但是，提醒注意的是，利用交换集线器或网桥是无法阻止ARP欺骗的，只有路由分段是有效的阻止手段。（也就是ip包必须经过路由转发。在有路由转发的情况下，ARP欺骗如配合ICMP欺骗将对网络造成极大的危害。从某种角度讲，入侵者可以跨过路由监听网络中任何两点的通讯，如果设置防火墙，请注意防火墙有没有提示过类似“某某IP是局域IP但从某某路由来”等这样的信息。

在有路由转发的情况下，发送到达路由的ip的主机其arp对应表中，ip的对应值是路由的mac。

比如: 我ping www.xxxx.com后，那么在我主机中，www. xxxx.com的IP对应项不是xxxx的mac，而是我路由的mac，其ip也是我路由的IP。(有些网络软件通过交换路由ARP可以得到远程IP的MAC)。

有兴趣做深入一步的朋友可以考虑这样一种情况：

假设这个入侵者突然想到：我要经过一个路由才可以走到那台有防火墙的主机！！！

于是这个入侵者开始思考：

1、我的机器可以进入那个网段，但是，不是用192.0.0.3的IP。

2、如果我用那个IP，就算那台正版192.0.0.3的机器死了，那个网络里的机器也不会把ip包丢到路由传给我。

3、所以，我要骗主机把ip包丢到路由。

通过多种欺骗手法可以达到这个目的。所以他开始这样做：

1、为了使自己发出的非法ip包能在网络上活久一点，开始修改ttl为下面的过程中可能带来的问题做准备。他把ttl改成255。 (ttl定义一个ip包如果在网络上到不了主机后在网络上能存活的时间，改长一点在本例中有利于做充足的广播)

2、他掏出一张软盘，这张软盘中有他以前用sniffer时保存的各种ip包类型。

3、他用一个合法的ip进入网络，然后和上面一样，发个洪水包让正版的192.0.0.3死掉，然后他用192.0.0.3进入网络。

4、在该网络的主机找不到原来的192.0.0.3的mac后，将更新自己的ARP对应表。于是他赶紧修改软盘中的有关ARP广播包的数据，然后对网络广播说"能响应ip为192.0.0.3的mac是我"。

5、好了，现在每台主机都知道了，一个新的MAC地址对应ip 192.0.0.3,一个ARP欺骗完成了，但是，每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。

6、他开始再修改软盘中的有关ICMP广播包的数据，然后发送这个包，告诉网络中的主机："到192.0.0.3的路由最短路径不是局域网，而是路由。请主机重定向你们的路由路径，把所有到192.0.0.3的ip包丢给路由哦。"

7、主机接受这个合理的ICMP重定向，于是修改自己的路由路径，把对192.0.0.3 的ip通讯都丢给路由器。

8、入侵者终于可以在路由外收到来自路由内的主机的ip包了，他可以开始telnet到主机的23口，用ip 192.0.0.3。
注意，这只是一个典型的例子，在实际操作中要考虑的问题还不只这些。

现在想想，如果他要用的是sniffer会怎样？

可见，利用ARP欺骗，一个入侵者可以：

1、利用基于ip的安全性不足，冒用一个合法ip来进入主机。

2、逃过基于ip的许多程序的安全检查，如NSF,R系列命令等。

他甚至可以栽账嫁祸给某人，让他跳到黄河洗不清，永世不得超生！

那么，如何防止ARP欺骗呢？

1、不要把你的网络安全信任关系建立在ip基础上或mac基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上。

2、设置静态的mac-->ip对应表，不要让主机刷新你设定好的转换表。

3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。

4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

5、使用"proxy"代理ip的传输。

6、使用硬件屏蔽主机。设置好你的路由，确保ip地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。

7、管理员定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性。

8、管理员定期轮询，检查主机上的ARP缓存。

9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。
以下收集的资料，供做进一步了解ARP协议

ARP的缓存记录格式：

每一行为：

IF Index:Physical Address:IP Address:Type

其中： IF Index 为：

1 以太网

2 实验以太网

3 X.25

4 Proteon ProNET (Token Ring)

5 混杂方式

6 IEEE802.X

7 ARC网
ARP广播申请和应答结构

硬件类型：协议类型：协议地址长：硬件地址长：操作码：发送机硬件地址：

发送机IP地址：接受机硬件地址：接受机IP地址。

其中：协议类型为： 512 XEROX PUP

513 PUP 地址转换

1536 XEROX NS IDP

2048 Internet 协议 (IP)

2049 X.752050NBS

2051 ECMA

2053 X.25第3层

2054 ARP

2055 XNS

4096 伯克利追踪者

21000 BBS Simnet

24577 DEC MOP 转储/装载

24578 DEC MOP 远程控制台

24579 DEC 网 IV 段

24580 DEC LAT

24582 DEC

32773 HP 探示器

32821 RARP

32823 Apple Talk

32824 DEC 局域网桥

如果你用过NetXRay，那么这些可以帮助你了解在细节上的ARP欺骗如何配合ICMP欺骗而让一个某种类型的广播包流入一个.

⑸ ARP协议主要是网络服务器中的哪个功能

不是网络服务器中的功能，而是网络服务中的功能，是计算机终端和某个IP地址的计算机通信时，查找它MAC地址的方法，在局域网中用的。

⑹ ARP 是什么。用来做什么的

网络命令一览表（绝对实用）

当你打开浏览器，自由地游弋于浩如烟海的互联网世界之时，是否也沉迷于下载各种实用软件？其中也许有很大一部分就是网络工具吧！但请你不要忽视你的面前——windows（包括win98和nt）作系统中本来就带有不少的网络实用工具，虽然比较简单，却并不简陋。本着“简单就是美”的原则，下面就为你展现windows网络实用工具的丰采……

ping

ping是个使用频率极高的实用程序，用于确定本地主机是否能与另一台主机交换（发送与接收）数据报。根据返回的信息，你就可以推断tcp/ip参数是否设置得正确以及运行是否正常。需要注意的是：成功地与另一台主机进行一次或两次数据报交换并不表示tcp/ip配置就是正确的，你必须执行大量的本地主机与远程主机的数据报交换，才能确信tcp/ip的正确性。

简单的说，ping就是一个测试程序，如果ping运行正确，你大体上就可以排除网络访问层、网卡、modem的输入输出线路、电缆和路由器等存在的故障，从而减小了问题的范围。但由于可以自定义所发数据报的大小及无休止的高速发送，ping也被某些别有用心的人作为ddos（拒绝服务攻击）的工具，前段时间yahoo就是被黑客利用数百台可以高速接入互联网的电脑连续发送大量ping数据报而瘫痪的。

按照缺省设置，windows上运行的ping命令发送4个icmp（网间控制报文协议）回送请求，每个32字节数据，如果一切正常，你应能得到4个回送应答。

ping能够以毫秒为单位显示发送回送请求到返回回送应答之间的时间量。如果应答时间短，表示数据报不必通过太多的路由器或网络连接速度比较快。ping还能显示ttl（time to live存在时间）值，你可以通过ttl值推算一下数据包已经通过了多少个路由器：源地点ttl起始值（就是比返回ttl略大的一个2的乘方数）-返回时ttl值。例如，返回ttl值为119，那么可以推算数据报离开源地址的ttl起始值为128，而源地点到目标地点要通过9个路由器网段（128-119）；如果返回ttl值为246，ttl起始值就是256，源地点到目标地点要通过9个路由器网段。

通过ping检测网络故障的典型次序

正常情况下，当你使用ping命令来查找问题所在或检验网络运行情况时，你需要使用许多ping命令，如果所有都运行正确，你就可以相信基本的连通性和配置参数没有问题；如果某些ping命令出现运行故障，它也可以指明到何处去查找问题。下面就给出一个典型的检测次序及对应的可能故障：

ping 127.0.0.1——这个ping命令被送到本地计算机的ip软件，该命令永不退出该计算机。如果没有做到这一点，就表示tcp/ip的安装或运行存在某些最基本的问题。

ping 本机ip——这个命令被送到你计算机所配置的ip地址，你的计算机始终都应该对该ping命令作出应答，如果没有，则表示本地配置或安装存在问题。出现此问题时，局域网用户请断开网络电缆，然后重新发送该命令。如果网线断开后本命令正确，则表示另一台计算机可能配置了相同的ip地址。

ping 局域网内其他ip——这个命令应该离开你的计算机，经过网卡及网络电缆到达其他计算机，再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答，那么表示子网掩码（进行子网分割时，将ip地址的网络部分与主机部分分开的代码）不正确或网卡配置错误或电缆系统有问题。

ping 网关ip——这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够作出应答。

ping 远程ip——如果收到4个应答，表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问internet（但不排除isp的dns会有问题）。

ping localhost——localhost是个作系统的网络保留名，它是127.0.0.1的别名，每太计算机都应该能够将该名字转换成该地址。如果没有做到这一带内，则表示主机文件（/windows/host）中存在问题。

ping http://www.yahoo.com" www.yahoo.com——对这个域名执行ping命令，你的计算机必须先将域名转换成ip地址，通常是通过dns服务器 如果这里出现故障，则表示dns服务器的ip地址配置不正确或dns服务器有故障（对于拨号上网用户，某些isp已经不需要设置dns服务器了）。顺便说一句：你也可以利用该命令实现域名对ip地址的转换功能。

如果上面所列出的所有ping命令都能正常运行，那么你对你的计算机进行本地和远程通信的功能基本上就可以放心了。但是，这些命令的成功并不表示你所有的网络配置都没有问题，例如，某些子网掩码错误就可能无法用这些方法检测到。

ping命令的常用参数选项

ping ip -t——连续对ip地址执行ping命令，直到被用户以ctrl c中断。

ping ip -l 2000——指定ping命令中的数据长度为2000字节，而不是缺省的32字节。

ping ip -n——执行特定次数的ping命令。

netstat

netstat用于显示与ip、tcp、udp和icmp协议相关的统计数据，一般用于检验本机各端口的网络连接情况。

如果你的计算机有时候接受到的数据报会导致出错数据删除或故障，你不必感到奇怪，tcp/ip可以容许这些类型的错误，并能够自动重发数据报。但如果累计的出错情况数目占到所接收的ip数据报相当大的百分比，或者它的数目正迅速增加，那么你就应该使用netstat查一查为什么会出现这些情况了。

netstat的一些常用选项：

netstat -s——本选项能够按照各个协议分别显示其统计数据。如果你的应用程序（如web浏览器）运行速度比较慢，或者不能显示web页之类的数据，那么你就可以用本选项来查看一下所显示的信息。你需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。

netstat -e——本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量）。

netstat -r——本选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到的 信息。除了显示有效路由外，还显示当前有效的连接。

netstat -a——本选项显示一个所有的有效连接信息列表，包括已建立的连接（established），也包括监听连接请求（listening）的那些连接。

netstat -n——显示所有已建立的有效连接。

netstat的妙用

经常上网的人一般都使用icq的，不知道你有没有被一些讨厌的人骚扰得不敢上线，想投诉却又不知从和下手？其实，你只要知道对方的ip，就可以向他所属的isp投诉了。但怎样才能通过icq知道对方的ip呢？如果对方在设置icq时选择了不显示ip地址，那你是无法在信息栏中看到的。其实，你只需要通过netstat就可以很方便的做到这一点：当他通过icq或其他的工具与你相连时（例如你给他发一条icq信息或他给你发一条信息），你立刻在dos prompt下输入netstat -n或netstat -a就可以看到对方上网时所用的ip或isp域名了。甚至连所用port都完全暴露了，如果你想给他一些教训，这些信息已经足够……

ipconfig

ipconfig实用程序和它的等价图形用户界面——windows 95/98中的winipcfg可用于显示当前的tcp/ip配置的设置值。这些信息一般用来检验人工配置的tcp/ip设置是否正确。但是，如果你的计算机和所在的局域网使用了动态主机配置协议（dynamic host configuration protocol，dhcp——windows nt下的一种把较少的ip地址分配给较多主机使用的协议，类似于拨号上网的动态ip分配），这个程序所显示的信息也许更加实用。这时，ipconfig可以让你了解你的计算机是否成功的租用到一个ip地址，如果租用到则可以了解它目前分配到的是什么地址。了解计算机当前的ip地址、子网掩码和缺省网关实际上是进行测试和故障分析的必要项目。

最常用的选项：

ipconfig——当使用ipconfig时不带任何参数选项，那么它为每个已经配置了的接口显示ip地址、子网掩码和缺省网关值

ipconfig /all——当使用all选项时，ipconfig能为dns和wins服务器显示它已配置且所要使用的附加信息（如ip地址等），并且显示内置于本地网卡中的物理地址（mac）。如果ip地址是从dhcp服务器租用的，ipconfig将显示dhcp服务器的ip地址和租用地址预计失效的日期（有关dhcp服务器的相关内容请详见其他有关nt服务器的书籍或询问你的网管），其输出信息见图6的下半部分。

ipconfig /release和ipconfig /renew——这是两个附加选项，只能在向dhcp服务器租用其ip地址的计算机上起作用。如果你输入ipconfig /release，那么所有接口的租用ip地址便重新交付给dhcp服务器（归还ip地址）。如果你输入ipconfig /renew，那么本地计算机便设法与dhcp服务器取得联系，并租用一个ip地址。请注意，大多数情况下网卡将被重新赋予和以前所赋予的相同的ip地址。

如果你使用的是windows 95/98，那么你应该更习惯使用winipcfg而不是ipconfig，因为它是一个图形用户界面，而且所显示的信息与ipconfig相同，并且也提供发布和更新动态ip地址的选项 如果你购买了windows nt resource kit（nt资源包），那么windows nt也包含了一个图形替代界面，该实用程序的名字是wntipcfg，和windows 95/98的winipcfg类似。

arp（地址转换协议）

arp是一个重要的tcp/ip协议，并且用于确定对应ip地址的网卡物理地址。实用arp命令，你能够查看本地计算机或另一台计算机的arp高速缓存中的当前内容。此外，使用arp命令，也可以用人工方式输入静态的网卡物理/ip地址对，你可能会使用这种方式为缺省网关和本地服务器等常用主机进行这项作，有助于减少网络上的信息量。

按照缺省设置，arp高速缓存中的项目是动态的，每当发送一个指定地点的数据报且高速缓存中不存在当前项目时，arp便会自动添加该项目。一旦高速缓存的项目被输入，它们就已经开始走向失效状态。例如，在windows nt网络中，如果输入项目后不进一步使用，物理/ip地址对就会在2至10分钟内失效。因此，如果arp高速缓存中项目很少或根本没有时，请不要奇怪，通过另一台计算机或路由器的ping命令即可添加。所以，需要通过arp命令查看高速缓存中的内容时，请最好先ping 此台计算机（不能是本机发送ping命令）。

常用命令选项：

arp -a或arp -g——用于查看高速缓存中的所有项目。-a和-g参数的结果是一样的，多年来-g一直是unix平台上用来显示arp高速缓存中所有项目的选项，而windows用的是arp -a（-a可被视为all，即全部的意思），但它也可以接受比较传统的-g选项。

arp -a ip——如果你有多个网卡，那么使用arp -a加上接口的ip地址，就可以只显示与该接口相关的arp缓存项目。

arp -s ip 物理地址——你可以向arp高速缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。

arp -d ip——使用本命令能够人工删除一个静态项目。



看到这里，你也许已经有些累了……其实对于一般用户来说也已经足够——你可以用ipconfig和ping命令来查看自己的网络配置并判断是否正确、可以用netstat查看别人与你所建立的连接并找出icq使用者所隐藏的ip信息、可以用arp查看网卡的mac地址——这些已足已让你丢掉菜鸟的头衔。如果你并不满足，那就“硬着头皮”（下面的内容可能有些枯燥）继续follow me……

tracert

当数据报从你的计算机经过多个网关传送到目的地时，tracert命令可以用来跟踪数据报使用的路由（路径）。该实用程序跟踪的路径是源计算机到目的地的一条路径，不能保证或认为数据报总遵循这个路径。如果你的配置使用dns，那么你常常会从所产生的应答中得到城市、地址和常见通信公司的名字。tracert是一个运行得比较慢的命令（如果你指定的目标地址比较远），每个路由器你大约需要给它15秒钟
tracert的使用很简单，只需要在tracert后面跟一个ip地址或url，tracert会进行相应的域名转换的。tracert一般用来检测故障的位置，你可以用tracert ip在哪个环节上出了问题，虽然还是没有确定是什么问题，但它已经告诉了我们问题所在的地方，你也就可以很有把握的告诉别人——某某出了问题。

route

大多数主机一般都是驻留在只连接一台路由器的网段上。由于只有一台路由器，因此不存在使用哪一台路由器将数据报发表到远程计算机上去的问题，该路由器的ip地址可作为该网段上所有计算机的缺省网关来输入。

但是，当网络上拥有两个或多个路由器时，你就不一定想只依赖缺省网关了。实际上你可能想让你的某些远程ip地址通过某个特定的路由器来传递，而其他的远程ip则通过另一个路由器来传递。

在这种情况下，你需要相应的路由信息，这些信息储存在路由表中，每个主机和每个路由器都配有自己独一无二的路由表。大多数路由器使用专门的路由协议来交换和动态更新路由器之间的路由表。但在有些情况下，必须人工将项目添加到路由器和主机上的路由表中。route就是用来显示、人工添加和修改路由表项目的。

一般使用选项：

route print——本命令用于显示路由表中的当前项目，在单路由器网段上的输出结果如图12，由于用ip地址配置了网卡，因此所有的这些项目都是自动添加的。

route add——使用本命令，可以将信路由项目添加给路由表。例如，如果要设定一个到目的网络209.98.32.33的路由，其间要经过5个路由器网段，首先要经过本地网络上的一个路由器，器ip为202.96.123.5，子网掩码为255.255.255.224，那么你应该输入以下命令：

route add 209.98.32.33 mask 255.255.255.224 202.96.123.5 metric 5

route change——你可以使用本命令来修改数据的传输路由，不过，你不能使用本命令来改变数据的目的地。下面这个例子可以将数据的路由改到另一个路由器，它采用一条包含3个网段的更直的路径：

route add 209.98.32.33 mask 255.255.255.224 202.96.123.250 metric 3

route delete——使用本命令可以从路由表中删除路由。例如：route delete 209.98.32.33

nbtstat

nbtstat（tcp/ip上的netbios统计数据）实用程序用于提供关于关于netbios的统计数据。运用netbios，你可以查看本地计算机或远程计算机上的netbios名字表格。

常用选项：

nbtstat -n——显示寄存在本地的名字和服务程序

nbtstat -c——本命令用于显示netbios名字高速缓存的内容。netbios名字高速缓存用于寸放与本计算机最近进行通信的其他计算机的netbios名字和ip地址对。

nbtstat -r——本命令用于清除和重新加载netbios名字高速缓存。

nbtstat -a ip——通过ip显示另一台计算机的物理地址和名字列表，你所显示的内容就像对方计算机自己运行nbtstat -n一样

nbtstat -s ip——显示实用其ip地址的另一台计算机的netbios连接表。

net

net命令有很多函数用于实用和核查计算机之间的netbios连接。这里我只介绍最常用的两个：net view和net use。

net view unc——运用此命令，你可以查看目标服务器上的共享点名字。任何局域网里的人都可以发出此命令，而且不需要提供用户id或口令。unc名字总是以\\开头，后面跟随目标计算机的名字。例如，net view \\lx就是查看主机名为lx的计算机的共享点（见图15）。

net use 本地盘符 目标计算机共享点——本命令用于建立或取消到达特定共享点的映像驱动器的连接（如果需要，你必须提供用户id或口令）。例如，你输入net use f: \\lx\mp3就是将映像驱动器f:连接到\\lx\mp3共享点上，今后你直接访问f:就可以访问\\lx\mp3共享点，这和你右击“我的电脑”选择映射网络驱动器类似。

⑺ 什么是ARP

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

地址解析协议是建立在网络中各个主机互相信任的基础上的，局域网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。

(7)arp为什么不需要服务器扩展阅读：

RARP和ARP不同，地址解析协议是根据IP地址获取物理地址的协议，而反向地址转换协议（RARP）是局域网的物理机器从网关服务器的ARP表或者缓存上根据MAC地址请求IP地址的协议，其功能与地址解析协议相反。与ARP相比，RARP的工作流程也相反。首先是查询主机向网路送出一个RARP Request广播封包，向别的主机查询自己的IP地址。这时候网络上的RARP服务器就会将发送端的IP地址用RARP Reply封包回应给查询者，这样查询主机就获得自己的IP地址了。

⑻ ARP 攻击，导致不能访问内网文件服务器。

四种常见防范ARP措施的分析

一、双绑措施
双绑是在路由器和终端上都进行IP-MAC绑定的措施，它可以对ARP欺骗的两边，伪造网关和截获数据，都具有约束的作用。这是从ARP欺骗原理上进行的防范措施，也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。

但双绑的缺陷在于3点：
1、 在终端上进行的静态绑定，很容易被升级的ARP攻击所捣毁，病毒的一个ARP –d命令，就可以使静态绑定完全失效。
2、 在路由器上做IP-MAC表的绑定工作，费时费力，是一项繁琐的维护工作。换个网卡或更换IP，都需要重新配置路由。对于流动性电脑，这个需要随时进行的绑定工作，是网络维护的巨大负担，网管员几乎无法完成。
3、 双绑只是让网络的两端电脑和路由不接收相关ARP信息，但是大量的ARP攻击数据还是能发出，还要在内网传输，大幅降低内网传输效率，依然会出现问题。

因此，虽然双绑曾经是ARP防范的基础措施，但因为防范能力有限，管理太麻烦，现在它的效果越来越有限了。

二、ARP个人防火墙
在一些杀毒软件中加入了ARP个人防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广，有很多人以为有了防火墙，ARP攻击就不构成威胁了，其实完全不是那么回事。

ARP个人防火墙也有很大缺陷：
1、它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗，有人在伪造网关，那么，ARP个人防火墙上来就会绑定这个错误的网关，这是具有极大风险的。即使配置中不默认而发出提示，缺乏网络知识的用户恐怕也无所适从。
2 、ARP是网络中的问题，ARP既能伪造网关，也能截获数据，是个“双头怪”。在个人终端上做ARP防范，而不管网关那端如何，这本身就不是一个完整的办法。ARP个人防火墙起到的作用，就是防止自己的数据不会被盗取，而整个网络的问题，如掉线、卡滞等，ARP个人防火墙是无能为力的。

因此，ARP个人防火墙并没有提供可靠的保证。最重要的是，它是跟网络稳定无关的措施，它是个人的，不是网络的。

三、VLAN和交换机端口绑定
通过划分VLAN和交换机端口绑定，以图防范ARP，也是常用的防范方法。做法是细致地划分VLAN，减小广播域的范围，使ARP在小范围内起作用，而不至于发生大面积影响。同时，一些网管交换机具有MAC地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的MAC和端口进行绑定，避免了病毒利用ARP攻击篡改自身地址。也就是说，把ARP攻击中被截获数据的风险解除了。这种方法确实能起到一定的作用。

不过，VLAN和交换机端口绑定的问题在于：
1、 没有对网关的任何保护，不管如何细分VLAN，网关一旦被攻击，照样会造成全网上网的掉线和瘫痪。
2、 把每一台电脑都牢牢地固定在一个交换机端口上，这种管理太死板了。这根本不适合移动终端的使用，从办公室到会议室，这台电脑恐怕就无法上网了。在无线应用下，又怎么办呢？还是需要其他的办法。
3、 实施交换机端口绑定，必定要全部采用高级的网管交换机、三层交换机，整个交换网络的造价大大提高。

因为交换网络本身就是无条件支持ARP操作的，就是它本身的漏洞造成了ARP攻击的可能，它上面的管理手段不是针对ARP的。因此，在现有的交换网络上实施ARP防范措施，属于以子之矛攻子之盾。而且操作维护复杂，基本上是个费力不讨好的事情。

四、PPPoE
网络下面给每一个用户分配一个帐号、密码，上网时必须通过PPPoE认证，这种方法也是防范ARP措施的一种。PPPoE拨号方式对封包进行了二次封装，使其具备了不受ARP欺骗影响的使用效果，很多人认为找到了解决ARP问题的终极方案。
问题主要集中在效率和实用性上面：
1、 PPPoE需要对封包进行二次封装，在接入设备上再解封装，必然降低了网络传输效率，造成了带宽资源的浪费，要知道在路由等设备上添加PPPoE Server的处理效能和电信接入商的PPPoE Server可不是一个数量级的。
2、 PPPoE方式下局域网间无法互访，在很多网络都有局域网内部的域控服务器、DNS服务器、邮件服务器、OA系统、资料共享、打印共享等等，需要局域网间相互通信的需求，而PPPoE方式使这一切都无法使用，是无法被接受的。
3、 不使用PPPoE，在进行内网访问时，ARP的问题依然存在，什么都没有解决，网络的稳定性还是不行。

因此，PPPoE在技术上属于避开底层协议连接，眼不见心不烦，通过牺牲网络效率换取网络稳定。最不能接受的，就是网络只能上网用，内部其他的共享就不能在PPPoE下进行了。

通过对以上四种普遍的ARP防范方法的分析，我们可以看出，现有ARP防范措施都存在问题。这也就是ARP即使研究很久很透，但依然在实践中无法彻底解决的原因所在了。

免疫网络是解决ARP最根本的办法

道高一尺魔高一丈，网络问题必定需要网络的方法去解决。目前，欣全向推广的免疫网络就是彻底解决ARP问题的最实际的方法。
从技术原理上，彻底解决ARP欺骗和攻击，要有三个技术要点。
1、终端对网关的绑定要坚实可靠，这个绑定能够抵制被病毒捣毁。
2、接入路由器或网关要对下面终端IP-MAC的识别始终保证唯一准确。
3、网络内要有一个最可依赖的机构，提供对网关IP-MAC最强大的保护。它既能够分发正确的网关信息，又能够对出现的假网关信息立即封杀。

⑼ web服务器是否需要ARP过程它的默认网关(路由器)是什么

自然需要，知道ARP干什么的，就很好理解，使用IP地址通信前，需要通过先知道对端的MAC地址，这个MAC地址相当于门牌号。而不管web服务器还是其他什么终端设备，访问同段IP地址前，都存在这一过程。什么是ARP？自行网络，没必要展开，除非你网络后还看不懂。

默认网关的概念，来自于路由查找，路由是选路。每个设备上都有一个路由表，里面有一些自动生成的路由信息，还有你添加的默认网关路由等信息，对于windows，可以在命令行下用route print看到这张路由表。什么是路由？什么是路由表？这个问题自己网络吧，在这里展开有必要吗？

比如服务器地址是192.168.1.2/24，默认网关是192.168.1.1。那么会有一条路由目的是192.168.1.0/24，通过192.168.1.2走，是根据你的本地IP生成的。这条路由的意思是说，同网段地址是直连的，直接从端口发送出去即可。另外还有一条路由目的地址是0.0.0.0/0，通过192.168.1.1走，这就是默认路由，是根据你的默认网关生成的。这条路由是说，不是同网段的IP访问，都发送给192.168.1.1，让它来转发。

那么ARP的过程在哪里？当本机发送一个IP包时，比如访问网络的包，目的地址肯定不是同网段的，自然发给了默认网关即192.168.1.1。若是二者第一次通信，本机的MAC地址表（在哪看？windows下用arp -a命令）肯定没有192.168.1.1的MAC地址，那么就不知道该把包发给谁。所以先会发送一个ARP请求广播，向同网询问谁是192.168.1.1？192.168.1.1收到广播后，会向1.2应答这个请求，告知1.2自己的MAC地址，自此ARP过程结束，二者通过MAC地址开始发送IP数据。