arp命令

ARP欺骗实验 ARP欺骗介绍 摘自百度百科 ARP欺骗（是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网上上特定计算机或所有计算机无法正常连线。最早探讨ARP欺骗的文章是由Yuri Volobuev所写的《ARP与ICMP转向游戏》（ARP and ICMP redirection games）。 其实arp欺骗就是假冒网关截取篡改数据包 实验步骤 1、工具准备 winpcap、Cain 2、环境配置 虚拟机（攻击机），宿主机（被欺骗机），虚拟机网络设置为桥接模式，保证虚拟机能够上网 本次实验借用的是他人的电脑，宿主机为Mac系统 3、查看虚拟机和宿主机IP 虚拟机的ip为192.168.0.102 宿主机的ip为192.168.0.100 并且，在实验开始前，已经用虚拟机ping过百度一类的网址，保证能够上网。 4、运行Cain主程序 打开Cain主程序，并单击“配置菜单”，选择IP为本机的（192.168.0.102）的网卡适配器 5. 扫描活动主机 单击主界面“嗅探器”标签，切换到“主机”一栏，单击“开始嗅探”按钮后，空白处鼠标右键单击，打开菜单，选择“扫描Mac地址”。 扫描结束后

地址解析协议（Address Resolution Protocol，ARP）是在仅知道主机的IP地址时确 地址解析协议定其物理地址的一种协议。因IPv4和以太网的广泛应用，其主要用作将IP地址翻译为以太网的MAC地址，但其也能在ATM( 异步传输模式)和FDDIIP(Fiber Distributed Data Interface 光纤分布式数据接口)网络中使用。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。 1. 什么是ARP? 　　ARP (Address Resolution Protocol) 是个地址解析协议。最直白的说法是：在IP-以太网中，当一个上层协议要发包时，有了节点的IP地址，ARP就能提供该节点的MAC地址。 　　2. 为什么要有ARP？ 　　OSI 模式把网络工作分为七层，彼此不直接打交道，只通过接口(layer interface). IP地址在第三层, MAC地址在第二层。协议在发送数据包时，得先封装第三层（IP地址），第二层（MAC地址）的报头, 但协议只知道目的节点的IP地址，不知道其MAC地址，又不能跨第二、三层，所以得用ARP的服务。 　　3. 什么是ARP 　　cache? ARP cache

使用arpspoof进行ARP欺骗 使用虚拟机上的kail进行测试 基本原理 我们将运行实际的ARP中毒攻击，重定向数据包流并使其流经我们的设备 基本命令 arpspooef -i 网卡 -t 目标ip 默认网关 测试 下面是我作为被攻击的kail，ip为192.168.25.129 下面是我作为攻击的kail，网卡对应ip，网卡名字为 eth0 ，ip为192.168.25.128 使用上面介绍的命令，网卡为攻击kail上的，为eth0，第二个参数为被攻击的kail的ip，最后一个为网关，该局域网网关为192.168.25.2（可以自己设置） 注意！！！！！！！！！ 这里若没有配置包的转发，那么当数据包到达我们机子的时候会丢弃，即出现 断网现象 。 配置数据包转发： echo 1 >/proc/sys/net/ipv4/ip_forward 总结：当被攻击中上网时，会访问默认网关，此时我们诱骗被攻击者主机，向其说明默认网关的MAC地址为攻击的Kail的MAC地址，于是被攻击者的所有数据包都往攻击者的机子上发，然后攻击者在配置数据包转发，将数据包扔出去，这时候成功诱骗被攻击中。这时，我们可以使用一些嗅探攻击进行数据，图片的盗取。如使用driftnet -i eth0对我们自己的网卡进行监控（由于被攻击者的所有数据都需要经过我们的网卡，所有我们能查看到被攻击者的一些数据）

一.工作原理 地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议，是 网络链路层的协议 ，在局域网中使用。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。 ARP的工作过程： 主机A的IP地址为192.168.1.1，MAC地址为0A-11-22-33-44-01 主机B的IP地址为192.168.1.2，MAC地址为0A-11-22-33-44-02 当主机A要与主机B通信时，地址解析协议可以将主机B的IP地址（192.168.1.2）解析成主机B的MAC地址，以下为工作流程： 第1步：根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。 第2步

1.介绍 Linux网络程序与内核交互的方法是通过ioctl来实现的，ioctl与网络协议栈进行交互，可得到网络接口的信息，网卡设备的映射属性和配置网络接口.并且还能够查看，修改，删除ARP高速缓存的信息，所以，我们有必要了解一下ioctl函数的具体实现. 2.相关结构体与相关函数 #include int ioctl(int d,int request,....); 参数: d-文件描述符，这里是对网络套接字操作，显然是套接字描述符 request-请求码 省略的部分对应不同的内存缓冲区，而具体的内存缓冲区是由请求码request来决定的,下面看一下具体都有哪些相关缓冲区。 (1)网络接口请求结构ifreq struct ifreq{ #define IFHWADDRLEN 6 //6个字节的硬件地址，即MAC union{ char ifrn_name[IFNAMESIZ];//网络接口名称 }ifr_ifrn; union{ struct sockaddr ifru_addr;//本地IP地址 struct sockaddr ifru_dstaddr;//目标IP地址 struct sockaddr ifru_broadaddr;//广播IP地址 struct sockaddr ifru_netmask;//本地子网掩码地址 struct sockaddr ifru

什么是arp协议： arp协议是地址解析协议，英文是address resolution protocol 通过IP地址可以获得mac地址 两个主机的通信归根到底是MAC地址之间的通信 在TCP/IP的网络环境下，每个联网的主机都会被分配一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址 ，为了让报文能够在物理网络上传输，还必须要知道对方主机的物理地址（MAC地址），这样就存在把IP地址转换成物理地址的问题。 我们以以太网为例，为了正确的向目的主机发送报文，必须把目的主机的32位IP地址转换成48位的以太网地址（MAC地址），这就需要在互联层有各个服务或功能将IP地址转换成响应的物理地址，这个服务或者功能就是ARP协议。 所谓的“地址解析”，就是主机在发送帧之前将目的IP地址转换成目的主机的mac地址的过程， ARP协议的基本功能就是通过目标设备的IP地址，查询目标主机的MAC地址，以保证主机间互相通信的顺利进行 ARP协议和DNS有点相像之处，不同点是DNS在域名和ip地址之间解析，而ARP是在IP地址和MAC地址之间解析，当然，他们都支持反向解析 ARP代理（ARP proxy）的工作原理： ARP协议要求通信的主机必须在同一个物理网段内（局域网环境），如果不在同一个局域网内的话就需要ARP代理了 当发送主机和目的主机不在同一个局域网中时

实验描述： 在本实验中，我们将 研究以太网协议和 ARP 协议 。在开始实验之前， 您可以查看课本的 6.4.1 节（链路层地址和 ARP）和 6.4.2（以太网）, 您也可以去看 RFC 826(ftp://ftp.rfc-editor.org/in-notes/std/std37.txt)了解关于 ARP 的协议详细信息, 该协议可以根据 IP 地址获取远程主机的的物理地址(MAC地址)。 实验过程： 第一部分：捕获和分析以太网帧 让我们从 捕获一组以太网帧 开始研究。 请执行下列操作 ： 首先，确保浏览器的缓存为空(清除浏览器缓存)， 对于Chorme浏览器，如下图所示 ，然后启动 Wireshark数据包嗅探器。 打开以下 URL http://gaia.cs.umass.edu/wireshark-labs/HTTP-ethereal-lab-file3.html 您的浏览器应显示相当冗长的美国权利法案。 接下来停止 Wireshark数据包捕获，找到您向 gaia.cs.umass.edu的 HTTP GET消 息的数据包编号以及 gaia.cs.umass.edu相应您的 HTTP回应。您的抓包结果应 看起来向下面一样: 由于本实验是关于以太网和 ARP的，我们对 IP或更高层协议不感兴趣。 因此，让我们更改 Wireshark的“捕获数据包列表”窗口

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的，IP地址是32 位的，而MAC地址则是48位的。MAC地址的长度为48位（6个字节），通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08: 00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数08:00:20代表网络硬件制造商的编号，它由IEEE（电气与电子工程师协 会）分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。只要你不去更改自己的MAC地址，那么你的MAC地 址在世界是惟一的。 MAC地址的作用 IP地址就如同一个职位，而MAC地址则好像是去应聘这个职位的人才，职位可以既可以让甲坐，也可以让乙坐，同样的道理一个节点的IP地址对于网卡是不做 要求，基本上什么样的厂家都可以用，也就是说IP地址与MAC地址并不存在着绑定关系。本身有的计算机流动性就比较强，正如同人才可以给不同的单位干活的 道理一样的，人才的流动性是比较强的。职位和人才的对应关系就有点像是IP地址与MAC地址的对应关系。比如，如果一个网卡坏了，可以被更换，而无须取得 一个新的IP地址。如果一个IP主机从一个网络移到另一个网络，可以给它一个新的IP地址，而无须换一个新的网卡。当然MAC地址除了仅仅只有这个功能还

一、介绍 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在同一以太网中，通过地址解析协议，源主机可以通过目的主机的IP地址获得目的主机的MAC地址。arping程序就是完成上述过程的程序。 arping，用来向局域网内的其它主机发送ARP请求的指令，它可以用来测试局域网内的某个IP是否已被使用。 二、指令格式如下： arping [-AbDfhqUV] [-c count] [-w deadline] [-s source] -I interface destination 三、参数释意： -A：与-U参数类似，但是使用的是ARP REPLY包而非ARP REQUEST包。 -b：发送以太网广播帧，arping在开始时使用广播地址，在收到回复后使用unicast单播地址。 -c：发送指定的count个ARP REQUEST包后停止。如果指定了-w参数，则会等待相同数量的ARP REPLY包，直到超时为止。 -D：重复地址探测模式，用来检测有没有IP地址冲突，如果没有IP冲突则返回0。 -f：收到第一个响应包后退出。 -h：显示帮助页。 -I：用来发送ARP REQUEST包的网络设备的名称。 -q：quite模式，不显示输出。 -U：无理由的（强制的）ARP模式去更新别的主机上的ARP CACHE列表中的本机的信息，不需要响应。 -V

一、代理ARP概述 我： 当电脑要访问互联网上的服务器，目标MAC是什么？ 很多小伙伴在刚学习网络协议的时候，经常这样直接回应： 不就是服务器的MAC嘛! 这时我会反问： 那电脑怎么拿到这个服务器的MAC地址呢？ 小伙伴一般都自信的抛出下面两个点： ①根据网络通信中数据封装的原则，通信双方需要封装源目IP和MAC地址； ②如果要拿到目标MAC地址，就需要通过ARP协议进行交互。 我：好，确实没毛病，你是指的下面这个意思吧 ==> 小伙伴：对对对，是这个意思的。 我：好，你再看看下面这个图，再确认下。 小伙伴：好像不太对唉，刚才没注意看...... 互联网这么多路由器，根据之前学过的： ①路由器隔离广播域，每个接口/网段都是独立的广播域； ②ARP请求是二层广播包，广播包没法过路由器， 这样的话，ARP请求广播包根本没法穿越互联网到达目标服务器。 我：那我们平常上微博逛知乎去京东剁手基本都依据上面这张图， 通过DNS协议将域名解析为IP地址，通过ARP协议将IP解析为MAC地址 。现在ARP请求无法穿越过去，电脑便无法获取目标服务器的MAC地址，怎么跟它通信呢？ 小伙伴： 。。。。。。 上面这个疑惑，我相信每个学习网络协议的初学者经常会问到，更普遍的情况是，很多工作多年的工程师，也未必能够将下面这几个问题完全搞清楚： ①电脑访问互联网服务器的时候，ARP询问的内容，真的是问服务器的吗