Linux二层网络arp相关命令

1. arp

  ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。

显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表，它们用于存储 IP地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用，则 arp命令将显示帮助信息。

1.1. 指令格式

1.2. 参数解释

1.3. 实例

2. arping

2.1. 介绍

  ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在同一以太网中，通过地址解析协议，源主机可以通过目的主机的IP地址获得目的主机的MAC地址。arping程序就是完成上述过程的程序。

  arping，用来向局域网内的其它主机发送ARP请求的指令，它可以用来测试局域网内的某个IP是否已被使用。

2.2. 格式及参数解释

arping [-fqbDUAV] [-c count] [-w deadline] [-w timeout] [-s source] [-I interface] destination

2.3. 实例

1. 查看某个IP的MAC地址

   arping 192.168.131.155

   1	arping 192.168.131.155

2. 查看某个IP的MAC地址，并指定count数量

   arping -c 1 192.168.131.155

   1	arping -c 1 192.168.131.155

3. 当有多块网卡的时候，指定特定的设备来发送请求包

   arping -i eth1 -c 1 192.168.131.155

   1	arping -i eth1 -c 1 192.168.131.155

4. 查看某个IP是否被不同的MAC占用

   arping -d 192.168.131.155

   1	arping -d 192.168.131.155

5. 查看某个MAC地址的IP，要在同一子网才查得到

   arping -c 1 52:54:00:a1:31:89

   1	arping -c 1 52:54:00:a1:31:89

6. 确定MAC和IP的对应，确定指定的网卡绑定了指定的IP

   arping -c 1 -T 192.168.131.156 00:13:72:f9:ca:60

   1	arping -c 1  -T 192.168.131.156  00:13:72:f9:ca:60

7. 确定IP和MAC对应，确定指定IP绑在了指定的网卡上

   arping -c 1 -t 00:13:72:f9:ca:60 192.168.131.156

   1	arping -c 1  -t  00:13:72:f9:ca:60 192.168.131.156

8. 有时候，本地查不到某主机，可以通过让网关或别的机器去查。以下几种形式测了下都可以

   arping -I ens33 -c 1 -S 10.240.160.1 -s 88:5a:92:12:c1:c1 10.240.162.115 arping -I ens33 -c 1 -S 10.240.160.1 10.240.162.115

   1 2 3

   arping  -I ens33 -c 1  -S 10.240.160.1 -s 88:5a:92:12:c1:c1  10.240.162.115   arping  -I ens33  -c 1  -S 10.240.160.1  10.240.162.115

2.4. 实例分析

1. 用于检验目标主机是否存活

   $ arping -c 1 -I ens33 192.168.197.1 ARPING 192.168.197.1 from 192.168.197.128 ens33 Unicast reply from 192.168.197.1 [00:50:56:C0:00:08] 0.732ms Sent 1 probes (1 broadcast(s)) Received 1 response(s)

   1 2 3 4 5 6

   $ arping -c 1 -I ens33 192.168.197.1   ARPING 192.168.197.1 from 192.168.197.128 ens33 Unicast reply from 192.168.197.1 [00:50:56:C0:00:08]  0.732ms Sent 1 probes (1 broadcast(s)) Received 1 response(s)

   • 1 packets received, 0% unanswered表示目标主机在该网络中存活
   $ arping -c 1 -I ens33 192.168.197.3 ARPING 192.168.197.1 from 192.168.197.128 ens33 Unicast reply from 192.168.197.1 [00:50:56:C0:00:08] 0.732ms Sent 1 probes (1 broadcast(s)) Received 1 response(s)

   1 2 3 4 5 6

   $ arping -c 1 -I ens33 192.168.197.3   ARPING 192.168.197.1 from 192.168.197.128 ens33 Unicast reply from 192.168.197.1 [00:50:56:C0:00:08]  0.732ms Sent 1 probes (1 broadcast(s)) Received 1 response(s)

   • 0 packets received, 100% unanswered (0 extra)表示目标主机在该网络中未存活

2. 检查是否存在ARP欺骗

     用于检查是否存在ARP欺骗，返回的数据包的IP地址一样，而MAC地址有多个，则存在ARP欺骗。如下说明目标主机不存在ARP欺骗。

   $ arping -D -I ens33 192.168.197.1 ARPING 192.168.197.1 from 0.0.0.0 ens33 Unicast reply from 192.168.197.1 [00:50:56:C0:00:08] 0.739ms Sent 1 probes (1 broadcast(s)) Received 1 response(s)

   1 2 3 4 5 6

   $ arping -D -I ens33 192.168.197.1   ARPING 192.168.197.1 from 0.0.0.0 ens33 Unicast reply from 192.168.197.1 [00:50:56:C0:00:08]  0.739ms Sent 1 probes (1 broadcast(s)) Received 1 response(s)

     如果目标主机是网关的IP，而这时候有存在两个(或多个)不同的MAC地址对应同一个网关的IP，这时候就说明有人使用ARP欺骗来冒充你的网关，这时候你电脑所有发出的信息，都有可能流经这个中间人的电脑。

3. arpd

arpd命令是用来收集免费arp信息的一个守护进程，它将收集到的信息保存在磁盘上或者在需要时，提供给内核用户用于避免多余广播。

3.1. 格式及参数

3.2. 实例