[原创] 【续】[一日一教学]（38）解析地址：arp

Hello123World

【原】[一日一教学]批处理系列帖子索引 http://bbs.bathome.net/thread-2576-1-1.html
【续】[一日一教学]批处理系列帖子索引 http://bbs.bathome.net/thread-13798-1-1.html
零、概述
ARP（地址解析协议） 用于将 IP 地址映射到物理 MAC 地址，维护本地网络设备的 ARP 缓存表。

一、帮助信息
以下是通过 arp /? 获取到官方帮助信息：

C:\Users\HelloWorld>arp /?

显示和修改地址解析协议(ARP)使用的“IP 到物理”地址转换表。

ARP -s inet_addr eth_addr [if_addr]
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr] [-v]

  -a            通过询问当前协议数据，显示当前 ARP 项。
                如果指定 inet_addr，则只显示指定计算机
                的 IP 地址和物理地址。如果不止一个网络
                接口使用 ARP，则显示每个 ARP 表的项。
  -g            与 -a 相同。
  -v            在详细模式下显示当前 ARP 项。所有无效项
                和环回接口上的项都将显示。
  inet_addr     指定 Internet 地址。
  -N if_addr    显示 if_addr 指定的网络接口的 ARP 项。
  -d            删除 inet_addr 指定的主机。inet_addr 可
                以是通配符 *，以删除所有主机。
  -s            添加主机并且将 Internet 地址 inet_addr
                与物理地址 eth_addr 相关联。物理地址是用
                连字符分隔的 6 个十六进制字节。该项是永久的。
  eth_addr      指定物理地址。
  if_addr       如果存在，此项指定地址转换表应修改的接口
                的 Internet 地址。如果不存在，则使用第一
                个适用的接口。
示例:
  > arp -s 157.55.85.212   00-aa-00-62-c6-09.... 添加静态项。
  > arp -a                                  .... 显示 ARP 表。
复制代码

二、选项、参数详解
在 Windows 的 cmd 环境中，ARP 命令支持多种选项，以下是其核心功能及常用选项说明。
从查看的-a，删除的-d，新增的-s来进行简单演示：

1、显示所有 ARP 缓存（不含无效项）
-a 选项

C:\Users\HelloWorld>arp -a

接口: 192.168.220.1 --- 0xe
  Internet 地址         物理地址              类型
  192.168.220.135       00-0c-29-31-8e-b9     动态
  192.168.220.254       00-50-56-f3-89-58     动态
  192.168.220.255       ff-ff-ff-ff-ff-ff     静态
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  239.192.152.143       01-00-5e-40-98-8f     静态
  239.255.255.250       01-00-5e-7f-ff-fa     静态
  255.255.255.255       ff-ff-ff-ff-ff-ff     静态

接口: 192.168.150.1 --- 0x13
  Internet 地址         物理地址              类型
  192.168.150.254       00-50-56-f8-27-a5     动态
  192.168.150.255       ff-ff-ff-ff-ff-ff     静态
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  239.192.152.143       01-00-5e-40-98-8f     静态
  239.255.255.250       01-00-5e-7f-ff-fa     静态
  255.255.255.255       ff-ff-ff-ff-ff-ff     静态

接口: 192.168.63.191 --- 0x14
  Internet 地址         物理地址              类型
  192.168.63.94         52-b6-38-78-83-f6     动态
  192.168.63.255        ff-ff-ff-ff-ff-ff     静态
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  239.192.152.143       01-00-5e-40-98-8f     静态
  239.255.255.250       01-00-5e-7f-ff-fa     静态
  255.255.255.255       ff-ff-ff-ff-ff-ff     静态
复制代码

2、显示所有 ARP 缓存（包含无效项）
-a -v选项

C:\Users\HelloWorld>arp -a -v

接口: 127.0.0.1 --- 0x1
  Internet 地址         物理地址              类型
  224.0.0.22                                  静态
  224.0.0.251                                 静态
  224.0.0.252                                 静态
  239.192.152.143                             静态
  239.255.255.250                             静态

接口: 0.0.0.0 --- 0xffffffff
  Internet 地址         物理地址              类型
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  239.255.255.250       01-00-5e-7f-ff-fa     静态

接口: 0.0.0.0 --- 0xffffffff
  Internet 地址         物理地址              类型
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  239.255.255.250       01-00-5e-7f-ff-fa     静态

接口: 192.168.220.1 --- 0xe
  Internet 地址         物理地址              类型
  192.168.220.2         00-00-00-00-00-00     无效
  192.168.220.135       00-0c-29-31-8e-b9     动态
  192.168.220.254       00-50-56-f3-89-58     动态
  192.168.220.255       ff-ff-ff-ff-ff-ff     静态
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  239.192.152.143       01-00-5e-40-98-8f     静态
  239.255.255.250       01-00-5e-7f-ff-fa     静态
  255.255.255.255       ff-ff-ff-ff-ff-ff     静态

接口: 0.0.0.0 --- 0xffffffff
  Internet 地址         物理地址              类型
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  239.255.255.250       01-00-5e-7f-ff-fa     静态

接口: 0.0.0.0 --- 0xffffffff
  Internet 地址         物理地址              类型
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  239.255.255.250       01-00-5e-7f-ff-fa     静态

接口: 192.168.150.1 --- 0x13
  Internet 地址         物理地址              类型
  192.168.150.254       00-50-56-f8-27-a5     动态
  192.168.150.255       ff-ff-ff-ff-ff-ff     静态
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  239.192.152.143       01-00-5e-40-98-8f     静态
  239.255.255.250       01-00-5e-7f-ff-fa     静态
  255.255.255.255       ff-ff-ff-ff-ff-ff     静态

接口: 192.168.63.191 --- 0x14
  Internet 地址         物理地址              类型
  192.168.63.94         52-b6-38-78-83-f6     动态
  192.168.63.255        ff-ff-ff-ff-ff-ff     静态
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  239.192.152.143       01-00-5e-40-98-8f     静态
  239.255.255.250       01-00-5e-7f-ff-fa     静态
  255.255.255.255       ff-ff-ff-ff-ff-ff     静态
复制代码

3、删除指定 IP 的 ARP 条目
-d 选项

C:\Users\HelloWorld>arp -d 192.168.63.94 && arp -a

接口: 192.168.63.191 --- 0x14
  Internet 地址         物理地址              类型
  192.168.63.255        ff-ff-ff-ff-ff-ff     静态
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  239.192.152.143       01-00-5e-40-98-8f     静态
  239.255.255.250       01-00-5e-7f-ff-fa     静态
  255.255.255.255       ff-ff-ff-ff-ff-ff     静态
复制代码

4、添加静态 ARP 条目（重启后失效）
-s 选项

C:\Users\HelloWorld>arp -s 192.168.1.2 00-aa-bb-cc-dd-ee

C:\Users\HelloWorld>arp -a



接口: 192.168.63.191 --- 0x14
  Internet 地址         物理地址              类型
  192.168.1.2           00-aa-bb-cc-dd-ee     静态
  192.168.63.94         52-b6-38-78-83-f6     动态
  192.168.63.255        ff-ff-ff-ff-ff-ff     静态
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  239.192.152.143       01-00-5e-40-98-8f     静态
  239.255.255.250       01-00-5e-7f-ff-fa     静态
  255.255.255.255       ff-ff-ff-ff-ff-ff     静态
复制代码

三、ARP的一些实际应用
1. 局域网设备发现与监控
场景：快速查看当前网络中哪些设备在线。
作用：发现活跃设备，排查未授权设备接入（如陌生 MAC 地址）。

arp -a          # Windows：显示所有 ARP 缓存条目
复制代码

2. IP 地址冲突排查
场景：多台设备使用相同 IP，导致网络中断。
作用：查看 ARP 表中同一 IP 是否对应多个 MAC 地址

arp -a | findstr "192.168.1.100"   # Windows 过滤特定 IP
复制代码

3. ARP 欺骗（中间人攻击）防御
场景：攻击者伪造网关 MAC，劫持流量。
作用：绑定网关的静态 ARP 条目（防止被篡改）。

# Windows（管理员权限）
arp -d 192.168.1.1       # 先删除原有条目
arp -s 192.168.1.1 00-11-22-33-44-55
复制代码

4.在安全测试中探测存活主机
场景：在安全测试中探测存活主机。
作用：获取存活主机。
4.1 使用 ping 扫描触发 ARP 缓存更新

for /L %i in (1,1,254) do @ping -n 1 192.168.1.%i   # Windows 批量 ping
复制代码

4.2 查看 ARP 表获取存活主机

arp -a | findstr "dynamic"   # Windows 过滤在线设备
或者
arp -a | findstr "动态"
复制代码

四、ARP的一些Linux拓展知识
1. 命令参数差异
功能        Windows 命令        Linux 命令
显示 ARP 缓存        arp -a        arp -a/-e/   -n（三个选项都可以，-n显示时不用域名解析）
删除所有条目        arp -d *        ip neigh flush all（推荐）
静态条目添加        arp -s IP MAC        arp -s IP MAC（需 root）
指定接口查看        arp -a -N IP        arp -i eth0

Linux：arp 命令已逐渐被 ip neigh 取代（如 ip neigh show）

五、ARP的一些安全知识拓展
1.ARP 欺骗（中间人攻击）概述
ARP 欺骗（中间人攻击）是一种通过伪造 ARP 报文篡改目标设备的 ARP 缓存表，从而实现流量劫持的攻击技术。

2.ARP 欺骗（中间人攻击）攻击原理
2.1ARP 协议缺陷：
ARP 协议无身份验证机制，设备会信任任何收到的 ARP 响应报文。
攻击者通过发送伪造的 ARP 响应报文，将网关 IP 地址与自己的 MAC 地址绑定，使受害者误以为攻击者是网关。

2.2流量劫持路径：
受害者 → 攻击者（伪网关）→ 真实网关 → 外网
外网 → 真实网关 → 攻击者（伪网关）→ 受害者