如何给linux给ARP表添加条目

Liunx添加ARP表方式如下:[功能]管理系统的arp缓存。 [描述]用来管理系统的arp缓存，常用的命令包括：arp: 显示所有的表项。arp -d address: 删除一个arp表项。arp -s address hw_addr: 设置一个arp表项。 常用参数：-a 使用bsd形式输出。（没有固定的列）-n 使用数字形式显示ip地址，而不是默认的主机名形式。-D 不是指定硬件地址而是指定一个网络接口的名称，表项将使用相应接口的MAC地址。一般用来设置ARP代理。-H type, --hw-type type: 指定检查特定类型的表项，默认type为ether，还有其他类型。-i If, --device If: 指定设置哪个网络接口上面的arp表项。-f filename: 作用同'-s',不过它通过文件来指定IP地址和MAC地址的绑定。文件中每行分别是主机和MAC，中间以空格分割。如果没有指定文件名称，则使用/etc/ethers文件。 以下例子中，用主机名称的地方也可以用点分10进制的ip地址来表示。另外输出结果中用"C"表示ARP缓存内容，"M"表示永久性表项，"P"表示公共的表项。[举例]*查看arp表：#arpAddress HWtype HWaddress FlagsMaskIfacehostname1ether 44:37:e6:97:92:16 C eth0hostname2ether 00:0f:fe:43:28:c5 C eth0hostname3ether 00:1d:92:e3:d5:ee C eth0hostname4ether 00:1d:0f:11:f2:a5 C eth0这里，Flags中的"C"代表此表项目是高速缓存中的内容，高速缓存中的内容过一段时间（一般20分钟）会清空，而"M"则表示静态表项，静态表项的内容不会过一段时间被清空。 *查看arp表，并且用ip显示而不是主机名称：# arp -nAddress HWtype HWaddress FlagsMaskIface10.1.10.254 ether 00:1d:92:e3:d5:ee C eth010.1.10.253 ether 44:37:e6:9b:2c:53 C eth010.1.10.178 ether 00:1b:78:83:d9:85 C eth010.1.10.119 ether 00:1d:0f:11:f2:a5 C eth0这里，对于上面的条目，假设当我们"ping 10.1.10.1"通过之后，arp中会多一条"10.1.10.1"相关的信息。 *查看arp表，显示主机名称和ip：#arp -ans.amazon.esdl.others.com (10.1.10.254) at00:1d:92:e3:d5:ee [ether] on eth0server.amazon.eadl.others.com (10.1.10.253) at44:37:e6:9b:2c:53 [ether] on eth0D2-baijh.amazon.esdl.others.com (10.1.10.178) at00:1b:78:83:d9:85 [ether] on eth0aplab.local (10.1.10.119) at 00:1d:0f:11:f2:a5[ether] on eth0 *添加一对IP和MAC地址的绑定：# arp -s 10.1.1.1 00:11:22:33:44:55:66这里，如果网络无法达到，那么会报告错误，具体如下：root@quietheart:/home/lv-k# arp -s 10.1.1.100:11:22:33:44:55:66SIOCSARP: Network is unreachableroot@quietheart:/home/lv-k# arp -nAddress HWtype HWaddress FlagsMaskIface10.1.10.254 ether 00:1d:92:e3:d5:ee C eth010.1.10.253 ether 44:37:e6:9b:2c:53 C eth010.1.10.178 ether 00:1b:78:83:d9:85 C eth010.1.10.119 ether 00:1d:0f:11:f2:a5 C eth0实际上，如果"arp -s"设置成功之后，会增加一个Flags为"CM"的表项，有些系统静态条目不会因为ARP响应而更新，而高速缓存中的条目会因此而更新。如果想要手工设置没有"M"，那么用"temp"选项，例如："arp -s IP MAC temp"类似的命令，实践发现，如果已经设置过IP了，那么再设置也不会改变其Flags。 *删除一个arp表项：# arp -d 10.1.10.118这里，删除之后只是硬件地址没有了，如下：root@quietheart:~# arp -nAddress HWtype HWaddress FlagsMaskIface10.1.10.118 ether 00:25:9c:c2:79:90 CMeth010.1.10.254 ether 00:1d:92:e3:d5:ee C eth0root@quietheart:~# arp -d 10.1.10.118root@quietheart:~# arp -nAddress HWtype HWaddress FlagsMaskIface10.1.10.118 (incomplete) eth010.1.10.254 ether 00:1d:92:e3:d5:ee C*删除eth0上面的一个arp表项：# arp -i eth0 -d 10.1.10.118 [其它]*指定回复的MAC地址：#/usr/sbin/arp -i eth0 -Ds 10.0.0.2 eth1 pub当eth0收到IP地址为10.0.0.2的请求时，将会用eth1的MAC地址回答。例如，双网卡机器运行这条命令：/usr/sbin/arp -i eth0 -Ds 10.0.0.2 eth1 pub会多一项：10.0.0.2 * MPeth0

arp欺骗的原理不多述，基本就是利用发 送假的arp数据包，冒充网关。一般在网上通讯的时候网关的IP和MAC的绑定是放在arp 缓存里面的，假的arp包就会刷新这个缓存，导致本该发送到网关的数据包发到了欺骗 者那里。解决的办法就是静态arp。

假设网关的IP是192.168.0.1，我们要 先得到网关的正确MAC，先ping一下网关：

ping 192.168.0.1

然后运行arp查看arp缓存中的网关MAC：

localhost~$ arp

Address HWtype HWaddressFlags MaskInterface

192.168.0.1 ether 00:12:34:56:78:9AC eth0

、这里得到的网关MAC假定 为00:12:34:56:78:9A，C代表这个绑定是保存在缓冲里的，我们要做的就是把这个IP和 MAC静态的绑定在一起，首先建立/etc/ethers文件，输入以下内容：

192.168.0.1 00:12:34:56:78:9A

保存退出，之后便是应 用这个静态绑定：

localhost~$ arp -f

再运行arp查看：

localhost~$ arp

Address HWtype HWaddressFlags MaskInterface

192.168.0.1 ether 00:12:34:56:78:9ACMeth0

多了个M，表示静态网关 ～

另外，如果你不会和局域网内的用户通讯的话，那么可以干脆 把arp解析关掉，假定你的网卡是eth0，那么可以运行：

localhost~$ ifconfig eth0 -arp

这样对付那些终结者软件就可以了，但是真的有人 向攻击的话，这样还是不够的，因为攻击者还可以欺骗网关，解决的办法就是在网关和 局域网内机器上做双向绑定，原理方法同上，一般网吧里面也是这样做的。

在linux中查看arp地址解析协议需要使用终端命令。

以Deepin linux为例，使用终端命令查看arp步骤如下所示：

1、在程序列表中点击打开终端命令程序。

2、在终端命令中输入查看arp命令：arp -g 。

3、如图所示，即是本地arp地址解析协议。

---