ARP缓存是如何形成的.doc

ARP缓存是如何形成的当要访问某个IP，计算机必须知道这个IP的物理地址（MAC地址），这时计算机会发一个广播式的数据包询问：“ipx.x.x.x对应的mac是什么？我是IP y.y.y.y , 我的mac是yy-yy-yy-yy-yy-yy” 整个局域网的机子都收到这个询问，真正拥有这个IP的机子就会回答它：“IP x.x.x.x的mac地址是我这个xx-xx-xx-xx-xx-xx”。 询问的机子会临时保存这个在“IP－MAC对照表”，一段时间不与某IP通讯的话，会删除对应条目。“IP－MAC对照表”中的临时条目就是arp缓存。 另，即使不是正确的机器也可以回答那个询问，回答一个错误的MAC，有可能让询问的机子发数据到错误的机子。这就叫“ARP欺骗”，可以说是利用arp协议设计上的漏洞。防止方法是设置静态“IP－MAC对照条目”。arp缓存清除失败，本地连接无故断开且不显示出（解决的话再给加50分）我总是连网连着然后就被断网，但是一切显示都是正常的，但其实已经断网了（本地连接什么都存在）QQ也过一段时间才显示断线，只能拔出网线在重新连接 （我换过3根网线，给别人用都可以）后来我发现用CMD清楚ARP缓存就可以了。 想问问这是哪的故障，怎么解决。总不能老是等断了再去清除啊，这样多麻烦 问题补充： 可是因为我要用到网游加速器，这样绑定了以后是否会有影响呢？ 有可能是中了arp病毒... 最好把arp 绑定. ARP 绑定， 就是用一条命令， 实现 网关IP地址和网关MAC地址在本机上的静态对应， 防止 ARP 攻击。 请参见 DOS 命令行 arp -s 以下供参考: 一、ARP病毒（或木马）的检测方法 1、已知中毒机器的MAC地址的情况下，可用NBTSCAN（下载地址：/download/nbtscan.rar）工具快速查找。 NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。 命令：“nbtscan -r /24”（搜索整个/24网段, 即-54）；或“nbtscan 5-127”搜索5-127 网段，即5-27。 输出结果：第一是IP地址，最后一列是MAC地址。 NBTSCAN的使用范例： 假如查找一台MAC地址为“00-0C-76-93-89-C2”的中毒主机，可以使用如下步骤完成查找： 1）将文件包中的nbtscan.exe 和cygwin1.dll解压缩放到c:\根目录下。 2）运行cmd，在出现的DOS窗口中输入： C:\nbtscan -r /24（这里需要根据用户实际网段输入），回车。 C:\Documents and Settings\meC:\nbtscan -r /24 Warning: -r option not supported under Windows. Running without it. Doing NBT name scan for addresses from /24 IP address NetBIOS Name Server User MAC address ------------------------------------------- Sendto failed: Cannot assign requested address 0 SERVER 00-11-09-EC-92-91 11 LLF 21 UTT-HIPER 00-13-46-E2-78-F9 75 JC 00-0B-2F-07-D5-AE 23 test123 3）通过查询IP--MAC对应表，查出“00-0C-76-93-89-C2”的病毒主机的IP地址为“23”。 2、MSS用户查找法： 在MSS服务器管理内，“安全设置”－“MAC-IP地址安全”，使用“全网扫描”功能可得到当前MSS服务器上ARP地址的缓存表，在ARP欺骗病毒（或木马）开始运行的时候，局域网内所有或部分主机的MAC地址更新为病毒主机的MAC地址（也就是扫描出的列表中，所有或部分主机的的MAC地址与病毒主机的MAC地址相同） 二、ARP病毒（或木马）的预防或解决措施 1、清空ARP缓存: 大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与 IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗，可以通过 ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决