地址检查本地TCPIP端口1433是否被监听

在以太网协议中规定 同一局域网中一台主机要与另一台主机进行直接通信必须要知道目标主机MAC地址。而在TCP/IP协议栈中 网络层与传输层只关心目标主机IP地址。这就导致在以太网中使用IP协议时数据链路层以太网协议接到上层IP协议提供数据中只包含目主机IP地址。于是需要一种方法根据目主机IP地址获得其MAC地址。这就是ARP协议要做事情。所谓地址剖析addressresolution就是主机在发送帧前将目标IP地址转换成目

标MAC地址过程。

另外当发送主机与目主机不在同一个局域网中时即便知道目主机MAC地址两者也不能直接通信必须经过路由转发才可以。所以此时发送主机通过ARP协议获得将不是目主机真实MAC地址而是一台可以通往局域网外路由器某个端口MAC地址。于是此后发送主机发往目主机所有帧都将发往该路由器通过它向外发送。这种情况称为ARP代理ARPProxy 。

工作原理

ARP

在每台安装有TCP/IP协议电脑里都有一个ARP缓存表表里IP地址与MAC地址是一一对应。

ARP工作原理

以主机A 192. 168. 1.5 向主机B 192. 168. 1. 1发送数据为例。当发送数据时主机A会在自己ARP缓存表中寻找是否有目标IP地址。如果找到了也就知道了目标MAC地址直接把目标MAC地址写入帧里面发送就可以了如果在ARP缓存表中没有找到目标IP地址主机A就会在网络上发送一个广播 A主机MAC地址是“主机AMAC地址” 这表示向同一网段内所有主机发出这样询问 “我是192. 168. 1.5我硬件地址是"主机AMAC地址".请问IP地址为192. 168. 1. 1MAC地址是什么 ”网络上其他主机并不响应ARP询问只有主机B接收到这个帧时才向主机A做出这样回应 “192. 168. 1. 1MAC地址是00-aa-00-62-c6-09” 。这样主机A就知道了主机BMAC地址它就可以向主机B发送信息了。同时A与B还同时都更新了自己ARP缓存表因为A在询问时候把自己IP与MAC地址一起告诉了B 下次A再向主机B或者B向A发送信息时直接从各自ARP缓存表里查找就可以了。ARP缓存表采用了老化机制即设置了生存时间TTL 在一段时间内一般15到20分钟如果表中某一行没有使用就会被删除这样可以大大减少ARP缓存表长度加快查询速度。ARP攻击就是通过伪造IP地址与MAC地址实现ARP欺骗能够在网络中产生大量ARP通信量使网络阻塞攻击者只要持续不断发出伪造ARP响应包就能更改目标主机ARP缓存中IP-MAC条目造成网络中断或中间人攻击。

第1页

ARP攻击主要是存在于局域网网络中局域网中若有一个人感染ARP木马则感染该ARP木马系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机通信信息并因此造成网内其它计算机通信故障。

RARP工作原理

1 发送主机发送一个本地RARP广播在此广播包中声明自己MAC地址并且请求任何收到此请求RARP服务器分配一个IP地址

2 本地网段上RARP服务器收到此请求后检查其RARP列表查找该MAC地址对应I P地址

3 如果存在 RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用

4 如果不存在 RARP服务器对此不做任何响应

5 源主机收到从RARP服务器响应信息就利用得到IP地址进行通讯如果一直没有收到RARP服务器响应信息表示初始化失败。

6如果在第1-3中被ARP病毒攻击则服务器做出反映就会被占用源主机同样得不到RARP服务器响应信息此时并不是服务器没有响应而是服务器返回源主机IP被占用。数据结构

ARP协议数据结构typedef structarphdrunsigned short arp_hrd;/*硬件类型*/unsigned short arp_pro;/*协议类型*/unsigned char arp_hln;/*硬件地址长度*/unsigned char arp_pln;/*协议地址长度*/unsigned short arp_op;/*ARP操作类型*/unsigned char arp_sha[6] ;/*发送者硬件地址*/unsigned long arp_spa;/*发送者协议地址*/unsigned char arp_tha[6] ;/*目标硬件地址*/unsigned long arp_tpa;/*目标协议地址*/

}ARPHDR,*PARPHDR;

RARP反向地址剖析协议

反向地址剖析协议用于一种特殊情况如果站点被初始化后只有自己物理网络地址而没有IP地址则它可以通过RARP协议并发出广播请求征求自己IP地址而RARP服务器则负责回答。这样无IP站点可以通过RARP协议取得自己IP地址这个地址在下一次系统重新开始以前都有效不用连续广播请求。 RARP广泛用于获取无盘工作站IP地址。ARP缓存表查看方法及修改

ARP缓存表是可以查看也可以添加与修改。在命令提示符下输入“arp-a”就可以查看ARP缓存表中内容了如附图所示。arp -a

用“arp -d”命令可以删除ARP表中所有内容

用“arp+空格+ <指定ip地址>+空格-d” 可以删除指定ip所在行内容

用“arp -s”可以手动在ARP表中指定IP地址与MAC地址对应类型为static(静态) 静态ARP缓存除非手动清除否则不会丢失。无论是静态还是动态ARP缓存重启启动计算机后都会丢失。

编辑本段电子防翻滚系统

第2页

ARP英文全称是Anti Rolling Program 即电子防翻滚功能。它通过感知车辆位置调节发动机扭矩及各车轮制动力从而防止车辆在高速急转弯等紧急状况时发生翻车状况。如雪佛兰科帕奇就标配了此系统。

编辑本段ARP欺骗

其实此起彼伏瞬间掉线或大面积断网大都是ARP欺骗在作怪。 ARP欺骗攻击已经成了破坏网吧经营罪魁祸首是网吧老板与网管员心腹大患。从影响网络连接通畅方式来看 ARP欺骗分为二种一种是对路由器ARP表欺骗另一种是对内网PC网关欺骗。第一种ARP欺骗原理是——截获网关数据。它通知路由器一系列错误内网MAC地址并按照一定频率不断进行使真实地址信息无法通过更新保存在路由器中结果路由器所有数据只能发送给错误MAC地址造成正常PC无法收到信息。第二种ARP欺骗原理是——伪造网关。它原理是建立假网关让被它欺骗PC向假网关发数据而不是通过正常路由器途径上网。在PC看来就是上不了网了 “网络掉线了” 。一般来说 ARP欺骗攻击后果非常严重大多数情况下会造成大面积掉线。有些网管员对此不甚了解出现故障时认为PC没有问题交换机没掉线“本事” 电信也不承认宽带故障。而且如果第一种ARP欺骗发生时只要重启路由器网络就能全面恢复那问题一定是在路由器了。为此宽带路由器背了不少“黑锅” 。作为网吧路由器厂家对防范ARP欺骗不得已做了不少分内、分外工作。一、在宽带路由器中把所有PCIP-MAC输入到一个静态表中这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关静态ARP信息这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做称其为IP-MAC双向绑定。显示与修改“地址剖析协议” (ARP)所使用到以太网 IP或令牌环物理地址翻译表。该命令只有在安装了TCP/IP协议之后才可用。arp -a [inet_addr] [-N [if_addr]arparp -d inet_addr [if_addr]arp -s inet_addr ether_addr [if_addr]

参数

-a

通过询问TCP/IP显示当前ARP项。如果指定了inet_addr则只显示指定计算机 IP与物理地址。

-g

与-a相同。inet_addr

以加点十进制标记指定IP地址。

-N

显示由 if_addr指定网络界面ARP项。if_addr

指定需要修改其地址转换表接口 IP地址如果有话 。如果不存在将使用第一个可适用接口。

-d

删除由 inet_addr指定项。

-s

在ARP缓存中添加项将IP地址inet_addr与物理地址ether_addr关联。物理地址由以连字符分隔6个十六进制字节给定。使用带点十进制标记指定IP地址。项是永久性 即在超时到期后项自动从缓存删除。ether_addr

第3页

指定物理地址。

编辑本段遭受ARP攻击后现象

ARP欺骗木马中毒现象表现为使用局域网时会突然掉线过一段时间后又会恢复正常。比如客户端状态频频变红用户频繁断网 IE浏览器频繁出错 以及一些常用软件出现故障等。如果局域网中是通过身份认证上网会突然出现可认证但不能上网现象无法ping通网关 重启机器或在MS-DOS窗口下运行命令arp -d后又可恢复上网。ARP欺骗木马只需成功感染一台电脑就可能导致整个局域网都无法上网严重甚至可能带来整个网络瘫痪。该木马发作时除了会导致同一局域网 内其他用户上网出现时断时续现象外还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码与账号去做金钱交易盗窃网上银行账号来做非法交易活动等这是木马惯用伎俩给用户造成了很大不便与巨大经济损失。

编辑本段常用维护方法

搜索网上目前对于ARP攻击[1]防护问题出现最多是绑定IP与MAC与使用ARP防护软件也出现了具有ARP防护功能路由器。下面来了解以下三种方法静态绑定、 Antiarp与具有ARP防护功能路由器。

静态绑定

最常用方法就是做I P与MAC静态绑定在网内把主机与网关都做IP与MAC绑定。欺骗是通过ARP动态实时规则欺骗内网机器所以我们把ARP全部设置为静态可以解决对内网P C欺骗 同时在网关也要进行IP与MAC静态绑定这样双向绑定才比较保险。方法

对每台主机进行I P与MAC地址静态绑定。

通过命令 arp -s可以实现 “arp – s IP MAC地址” 。

例如 “arp – s 192. 168. 10. 1 AA-AA-AA-AA-AA-AA” 。

如果设置成功会在PC上面通过执行arp -a可以看到相关提示

Internet Address Physical Address Type

192 168. 10. 1 AA-AA-AA-AA-AA-AA static(静态)

一般不绑定,在动态情况下

Internet Address Physical Address Type

192 168. 10. 1 AA-AA-AA-AA-AA-AA dynamic(动态)

说明对于网络中有很多主机 500台 1000台. . . 如果我们这样每一台都去做静态绑定工作量是非常大。 这种静态绑定在电脑每次重起后都必须重新在绑定虽然也可以做一个批处理文件但是还是比较麻烦

3 2使用ARP防护软件

当前关于ARP类防护软件出比较多了大家使用比较常用ARP工具主要是欣向ARP工具Antiarp等。它们除了本身来检测出ARP攻击外防护工作原理是一定频率向网络广播正确ARP信息。我们还是来简单说下这两个小工具。

3 2. 1欣向ARP工具

俺使用了该工具它有5个功能: 

A. IP/MAC清单

选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网那块网卡。IP/MAC扫描。这里会扫描当前网络中所有机器IP与MAC地址。请在内网运行正常时扫描因为这个表格将作为对之后ARP参照。

之后功能都需要这个表格支持如果出现提示无法获取I P或MAC时就说明这里表格里面没有相应数据。

第4页

B. ARP欺骗检测

这个功能会一直检测内网是否有PC冒充表格内IP。你可以把主要IP设到检测表格里面例如路由器 电影服务器等需要内网机器访问机器IP。

(补充) “ARP欺骗记录”表如何理解

“Time” 发现问题时时间

“s ender” 发送欺骗信息IP或MAC

“Repeat” 欺诈信息发送次数

“ARP info” 是指发送欺骗信息具体内容.如下面例子time sender Repeat ARP info 22:22:22 192. 168. 1.22 1433 192. 168. 1. 1 is at

00:0e:03:22:02:e8

ARP

这条信息意思是在22:22:22时间检测到由192. 168. 1.22发出欺骗信息 已经发送了1433次他发送欺骗信息内容是 192. 168. 1. 1MAC地址是00:0e:03:22:02:e8。

打开检测功能如果出现针对表内IP欺骗会出现提示。可以按照提示查到内网ARP欺骗根源。提示一句任何机器都可以冒充其他机器发送IP与MAC所以即使提示出某个IP或MAC在发送欺骗信息也未必是100%准确。所有请不要以暴力解决某些问题。

C.主动维护

这个功能可以直接解决ARP欺骗掉线问题但是并不是理想方法。他原理就在网络内不停广播制定I P正确MAC地址。

“制定维护对象”表格里面就是设置需要保护IP 。发包频率就是每秒发送多少个正确包给网络内所有机器。强烈建议尽量少广播IP尽量少广播频率。一般设置1次就可以如果没有绑定IP情况下出现ARP欺骗可以设置到50100次如果还有掉线可以设置更高即可以实现快速解决ARP欺骗问题。但是想真正解决ARP问题还是请参照上面绑定方法。arp

D.欣向路由器日志

收集欣向路由器系统日志等功能。

E.抓包

类似于网络剖析软件抓包保存格式是.cap。

Antiarp

这个软件界面比较简单 以下为我收集该软件使用方法。

A.填入网关IP地址 点击[获取网关地址]将会显示出网关MAC地址。点击[自动防护]即可保护当前网卡与该网关通信不会被第三方监听。注意如出现ARP欺骗提示这说明攻击者发送了ARP欺骗数据包来获取网卡数据包如果您想追踪攻击来源请记住攻击者MAC地址利用MAC地址扫描器可以找出I P对应MAC地址。

B. IP地址冲突

如频繁出现IP地址冲突这说明攻击者频繁发送ARP欺骗数据包才会出现IP冲突警告利用Anti ARP Sniffer可以防止此类攻击。

C.您需要知道冲突MAC地址 Windows会记录这些错误。查看具体方法如下

右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突并记录了该MAC地址请复制该MAC地址并填入Ant i ARPSniffer本地MAC地址输入框中(请注意将转换为-) 输入完成之后点击[防护地址冲突] 为了使MAC地址生效请禁用本地网卡然后再启用网卡在CMD命令行中输入Ipconf ig/al l

第5页

查看当前MAC地址是否与本地MAC地址输入框中MAC地址相符如果更改失败请与我联系。如果成功将不再会显示地址冲突。

注意如果您想恢复默认MAC地址请点击[恢复默认] ,为了使MAC地址生效请禁用本地网卡然后再启用网卡。

具有ARP防护功能路由器

这类路由器以前听说很少对于这类路由器中提到ARP防护功能其实它原理就是定期发送自己正确ARP信息。但是路由器这种功能对于真正意义上攻击是不能解决。ARP最常见特征就是掉线一般情况下不需要处理一定时间内可以回复正常上网 因为ARP欺骗是有老化时间过了老化时间就会自动回复正常。现在大多数路由器都会在很短时间内不停广播自己正确ARP信息使受骗主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短量很大欺骗ARP 1秒有个几百上千) 它是不断发起ARP欺骗包来阻止内网机器上网 即使路由器不断广播正确包也会被他大量错误信息给淹没。

可能你会有疑问我们也可以发送比欺骗者更多更快正确ARP信息啊如果攻击者每秒发送1000个ARP欺骗包那我们就每秒发送1500个正确ARP信息

面对上面疑问我们仔细想想如果网络拓扑很大网络中接了很多网络设备与主机大量设备都去处理这些广播信息那网络使用起来好不爽再说了会影响到我们工作与学习。ARP广播会造成网络资源浪费与占用。如果该网络出了问题我们抓包剖析数据包中也会出现很多这类ARP广播包对剖析也会造成一定影响。

编辑本段中国科学院资源规划项目

ARP项目是实现中国科学院科学资源规划信息系统工程ARP即“中国科学院资源规划项目” Academia Resource Planning简称 ARP 。

“ARP项目是带有科研活动特殊性质电子政务在科研活动管理中综合运用先进信息技术与管理理念建设符合院发展战略新一代管理信息系统” 江绵恒副院长语 是中国科学院“十五”信息化建设重大项目之一是在知识创新工程试点中进一步推动管理创新、不断提升管理水平与效率重大举措。

ARP项目从中国科学院院所两级治理结构出发 以科技计划与执行管理为核心综合运用创新管理理念与先进信息技术对全院人力、资金、科研基础条件等资源配置及相关管理流程进行整合与优化构建有效管理服务信息技术平台。

ARP理念源自于ERP。 ERP基本思想是将企业流程看作是一个紧密连接供应链其中包括供应商、制造工厂、分销网络与客户等。通过对供应链上所有环节进行有效管理加速企业信息流程提高反应速度改善决策品质提高企业管理效能。 ERP系统是整合了企业管理理念、业务流程、基础数据、人力物力、计算机硬件与软件于一体企业资源管理系统。ARP借鉴ERP思想对中科院科研管理活动及其相关各种资源进行综合管理。 ARP基于网络化信息平台应用成熟、智能信息技术 以科研管理为核心全面整合、优化贯穿整个科研活动人力资源、财务、物资、科研项目等管理流程为科研管理者提供计划、运行、监控、决策、检查评价等综合服务支持平台从而增强资源调控能力与使用效率合理地配置资源提高与改善科学研究管理工作效率与效果最终充分发挥中科院综合优势提升中科院综合管理水平与综合竞争实力。

从科技创新活动规律出发引进现代企业先进管理理念与方法建立现代科技创新活动管理体系正是中国科学院体制与管理创新目标之一。 ARP项目既然是借鉴ERP系统提出来就要参照ERP理念与思路提升到ARP角度来考虑加强顶层设计明确总体需求真正做出中国科学院ARP系统。

第6页

ARP项目终极目标就是如何在院内及合作伙伴范围内利用一切可利用资源实现自身价值最大化。通过ARP项目实施进一步推进中国科学院管理创新不断提升管理工作水平与效率促进科技创新与人才培养效益最大化。

编辑本段ARP常见问题1.什么是ARP

ARP (Address Resolution Protocol)是个地址剖析协议。最白说法是在IP-以太网中当一个上层协议要发包时有了节点IP地址 ARP就能提供该节点MAC地址。

2. 为什么要有ARP

OSI模式把网络工作分为七层彼此不直接打交道只通过接口(layer interface) . IP地址在第三层 MAC地址在第二层。协议在发生数据包时得先封装第三层 IP地址 第二层 MAC地址报头但协议只知道目节点IP地址不知道其地址又不能跨第二、三层所以得用ARP服务。

3.什么是ARP cache

ARP cache是个用来储存(IP,MAC)地址缓冲区。当ARP被询问一个已知IP地址节点MAC地址时先在ARP cache查看若存在就直接返回MAC地址若不存在才发送ARP request向局域网查询。

4. ARP有什么命令行

常用包括 格式因操作系统、路由器而异但作用类似

-显示ARP cache: show arp;arp -a

-清除ARP cache:arp -d

5.路由器有ARP cache吗

有。路由器若有接口连接到局域网就会有ARP cache。如果路由器接口都是点对点接口(serial interface) 就不会有ARP cache。

6.路由器怎么使用ARP cache

路由器在转发数据包到下一站时得用下一站MAC地址来封装链路报头(Link header) 它向ARP查询这个地址。如果ARP cache里没有这个地址路由器ARP会发送ARP Request去查询。

7. ARP与Ping有什么关系

Ping是个常用网络工具检查远程主机、路由器是否在线。

从源主机到目主机一路上ping可能被几个路由器转发只要有一个ARP cache里没有下一站MAC地址路由器就会把ping丢弃(称为ARP Miss) 。 由于ARP Miss而掉包是个常见掉包原因。

编辑本段ARP协议

ARP Address Resolution Protocol地址剖析协议用于将计算机网络地址 IP地址32位转化为物理地址MAC地址48位 [RFC826] 。ARP协议是属于网络层协议在以太网中数据帧从一个主机到达网内另一台主机是根据48位以太网地址硬件地址来确定接口而不是根据32位IP地址。 内核如驱动必须知道目端硬件地址才能发送数据。当然点对点连接是不需要ARP协议。

希望以上资料对你有所帮助 附励志名言十条

1、理想的路总是为有信心的人预备着。

2、最可怕的敌人就是没有坚强的信念。——罗曼·罗兰

3、人生就像爬坡要一步一步来。——丁玲

4、沉浸于现实的忙碌之中没有时间和精力思念过去成功也就不会太远了。——雷音

5、在别人藐视的事中获得成功是一件了不起的事 因为它证明不但战胜了自己也战胜了别人。——蒙特兰

第7页

6、学会以最简单的方式生活不要让复杂的思想破坏生活的甜美。——弥尔顿

7、成功者与失败者之间的区别常在于成功者能由错误中获益并以不同的方式再尝试。——爱默生

8、拼命去争取成功但不要期望一定会成功。——法拉第

9、成功源于不懈的努力。

10、人生的意义就在于人的自我完善。——高尔基

第8页