如何查看ARP缓存表

2024年3月20日发(作者：)

如何查看ARP缓存表

ARP缓存表示可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就

可以查看arp缓存表的内容了。

用“arp -d”可以删除arp缓存表里的所有内容。

用“arp -s“可以手动在arp表中制定ip地址与mac地址的对应关系。

最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就

可以了。

四，找出ARP病毒源

第一招：使用Sniffer抓包

在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某

个IP不断发送

ARP Request请求包，那么这台电脑一般就是病毒源。原理：无论何种ARP病毒变

种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关

的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有

主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网

关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到

中毒主机。

第二招：使用arp-a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp-

a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.

0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。原理：一般情况下，

网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地

址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如

果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主

机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

第三招：使用tracert命令在任意一台受影响的主机上，在DOS命令窗口下运行如下

命令：tracert61.135.179.148。假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，

第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。原理：中毒主机在受影响主机和

网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC

地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。

AntiArp软件会在提示框内出现病毒主机的MAC地址

对每台主机进行IP和MAC地址静态绑定。

通过命令，arp -s可以实现 “arp –s IP MAC地址 ”。

例如：“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。

如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示：

Internet Address Physical Address Type

192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)

一般不绑定,在动态的情况下：

Internet Address Physical Address Type

192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)