关于win7永久性静态绑定MAC地址有效防止ARP

关于ARP欺骗/攻击反复袭击，是近来网络行业普遍了解的现象，随着ARP攻击的不断升级，不同的解决方案在市场上流传。看了一下网上的案例，对于小型局域网或家庭网络的解决方案还是挺少的，也不完整。要么就是推荐购买设备，或者是安装某个杀毒软件。今天我来写一个关于仅针对个人PC比较常用的处理手段/服务器也可以这么做，防范于未然嘛，常在网上漂，哪有不挨刀！

首先介绍一下什么是ARP攻击/欺骗，一般计算机中的原始的ARP协议，很像一个思想不坚定，容易被其它人影响的人，ARP欺骗/攻击就是利用这个特性，误导计算机作出错误的行为。ARP攻击的原理，互联网上很容易找到，这里不再覆述。原始的ARP协议运作，会附在局域网接收的广播包或是ARP询问包，无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人，听了每一个人和他说话都信以为真，并立刻以最新听到的信息作决定。

就像一个没有计划的快递员，想要送信给"张三"，只在马路上问"张三住那儿?"，并投递给最近和他说"我就是"或"张三住那间"，来决定如何投递一样。在一个人人诚实的地方，快递员的工作还是能切实地进行;但若是旁人看快递物品值钱，想要欺骗取得的话，快递员这种工作方式就会带来混乱了。

我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见ARP攻击对象有两种，一是网络网关，也就是路由器，二是局域网上的计算机，也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员，让快递员整个工作大乱，所有信件无法正常送达;而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送物品传送给发动攻击的计算机。

主讲局域网上的计算机如何应对ARP攻击，最简单、实用的方法，也欢迎大家指点指点经验！下面拿一个我的实例来讲，了解ARP的严重性：

某高速缴费查询系统服务器，由于防火墙已使用长达8年，在更换掉新防火墙之后，三天内服务器频繁出现连接不上，直到服务器出现死机、自动重启客户给我打电话告知情况，瑞星杀毒提示14小时内不间断遭受到ARP欺骗。直接断定，一、服务器本身做有对原防火墙的网关MAC地址绑定，或者从防火墙到服务器之间的其它网络设备有MAC地址绑定/设备ARP表更新不正常；二、局域网内的其它服务器可能中了ARP病毒；说起来现在的甲方管理人员连自己网络设备的管理密码都不知道，我五体投地了，跪拜了。我无法查看三层交换的ARP地址表，只能查看防火墙的攻击事件，无任何异常。我的处理方式直接在服务器上做静态网关MAC绑定，我查看了攻击事件的详细信息，发起攻击冲突的MAC地址进行厂

商查询，确实是该厂商的生产网卡的MAC地址，但新的防火墙接口上并没有与该MAC对应的接口。我做完静态网关绑定，重启服务器，攻击事件消除，直到目前为止再也没有出现过ARP地址攻击。后来听说这个故障是他们科长、主任发现，导致服务中断差点没上升为政治

问题，我着实扭了一把汗。

废话不多说，直接操作：以win7为实验机器

运行——CMD，我本机使用的无线网络连接，先查看本机的网卡信息：

MAC地址、网关都知道了，下面做绑定：

arp -s 192.168.99.3 40-16-9f-cb-bc-fc

不过这句话在Windows7显得这么无助，会提示：ARP 项添加失败: 请求的操作需要提升。（英文版提示：The ARP entry addition failed: Access is denied. ）

windows7看来arp是不行了，只能使用更高级的”netsh”了，可以使用以下命令来完成netsh interface ipv4 set neighbors 13 "192.168.99.3" "40-16-9f-cb-bc-fc" store=active；上面的store=active表示[激活]当前有效，重启之后还原设置

注意：13是网卡接口序号Idx，执行命令前先查看netsh i I show in

二、netsh interface ipv4 set neighbors 13 "192.168.99.3" "40-16-9f-cb-bc-fc" store= persistent；上面的store=active表示[永久激活]当前有效，重启之后仍保持不变注意：重置命令netsh interface ipv4 reset

删除命令netsh -c i i delete neighbors 13

呵呵，完了！

防arp简单方法-静态绑定网关(整理)

静态绑定网关MAC 简单方法：手工绑定： (1).确定用户计算机所在网段 (2).查出用户网段网关IP (3).根据网关IP查出用户网段网关Mac，本地查询: (4).用命令arp -s 网关IP 网关MAC静态绑定网关IP和MAC 举例: (1).确定用户计算机所在网段 开始->程序->附件->命令提示符,打开命令提示符窗口,输入ipconfig命令，查出用户正常分配到的IP地址： 本机IP: 10.13.2.62 网关IP: 10.13.2.254 (2).IP为10.13.3.254 的网关的MAC地址为00-0b-46-01-01-00 (4).在命令提示符窗口中输入以下命令 arp –d //清空ARP缓存 arp -s 10.13.2.254 00-0b-46-01-01-00 //静态绑定网关MAC地址arp –a //查看ARP缓存记录

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 由于手工绑定在计算机关机重启后就会失效，需要再次重新绑定 可以采用批处理的方式，完成上述步骤，同时使之开机运行即可 使用arp命令静态绑定网关MAC，格式如下： arp －s 网关IP 网关MAC 如果觉得每次手动输入比较复杂，您可以编写一个简单的批处理文件然后让它每次开机时自动运行， 批处理文件如下： ----------------------------------- @echo off echo 'arp set' arp -d arp －s 网关IP 网关MAC exit ------------------------------------

ARP静态绑定批处理文件脚本详细讲解

ARP静态绑定批处理文件脚本详细讲解 网上流传了很多对付ARP欺骗的批处理脚本，本文是对比较流行的一个脚本加以注释和讲解，希望对广大51CTO网友和网管员有用。 网上流传了很多对付ARP欺骗的批处理脚本，本文是对比较流行的一个脚本加以注释和讲解，希望对广大51CTO网友和网管员有用。原批处理文件如下： @echo off if exist ipconfig.txt del ipconfig.txt ipconfig /all >ipconfig.txt if exist phyaddr.txt del phyaddr.txt find "Physical Address" ipconfig.txt >phyaddr.txt for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M if exist IPAddr.txt del IPaddr.txt find "IP Address" ipconfig.txt >IPAddr.txt for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I arp -s %IP% %Mac% del ipaddr.txt del ipconfig.txt del phyaddr.txt exit 现在以//开头的为我的解释 @echo off //关闭命令回显

if exist ipconfig.txt del ipconfig.txt //如果存在ipconfig.txt 这个文件就对其进行删除 ipconfig /all >ipconfig.txt //把ipconfig /all 命令的显示结果写入ipconfig.txt if exist phyaddr.txt del phyaddr.txt //如果存在phyaddr.txt 这个文件就对其进行删除 find "Physical Address" ipconfig.txt >phyaddr.txt //在ipconfig.txt 文件里查找Physical Address 字段的内容并将其字段内容写入phyaddr.txt for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M //在phyaddr.txt 文件中从第一行象下跳两行，也就是从第三行开始，从第12个符号处取值，并把该值设置成MAC 变量，举个例子：Physical Address. . . . . . . . . : 00-E0-FC-0C-A8-4F，每一个连续的数值为一个符号 符号1：Physical 符号2：Address. 符号3：. 符号4：. 符号5：. 符号6：. 符号7：. 符号8：. 符号9：.

IEEE802.11协议详细介绍

协议X档案:IEEE 802.11协议详细介绍 作为全球公认的局域网权威，IEEE 802工作组建立的标准在过去二十年内在局域网领域内独领风骚。这些协议包括了802.3 Ethernet协议、802.5 Token Ring协议、802.3z 100BASE-T快速以太网协议。在1997年，经过了7年的工作以后，IEEE发布了802.11协议，这也是在无线局域网领域内的第一个国际上被认可的协议。在1999年9月，他们又提出了802.11b"High Rate"协议，用来对802.11协议进行补充，802.11b在802.11的1Mbps和2Mbps 速率下又增加了 5.5Mbps和11Mbps两个新的网络吞吐速率,后来又演进到802.11g的54Mbps，直至今日802.11n的108Mbps。 802.11a 高速WLAN协议，使用5G赫兹频段。 最高速率54Mbps，实际使用速率约为22-26Mbps 与802.11b不兼容，是其最大的缺点。也许会因此而被802.11g淘汰。 802.11b 目前最流行的WLAN协议，使用2.4G赫兹频段。 最高速率11Mbps，实际使用速率根据距离和信号强度可变 （150米内1-2Mbps，50米内可达到11Mbps） 802.11b的较低速率使得无线数据网的使用成本能够被大众接受（目前接入节点的成本仅为10-30美元）。 另外，通过统一的认证机构认证所有厂商的产品，802.11b设备之间的兼容性得到了保证。兼容性促进了竞争和用户接受程度。 802.11e 基于WLAN的QoS协议，通过该协议802.11a,b,g能够进行VoIP。 也就是说，802.11e是通过无线数据网实现语音通话功能的协议。 该协议将是无线数据网与传统移动通信网络进行竞争的强有力武器。 802.11g 802.11g是802.11b在同一频段上的扩展。支持达到54Mbps的最高速率。

ARP绑定网关及批处理

ARP绑定网关及批处理 一.WINDOWS下绑定ARP绑定网关 步骤一： 在能正常上网时，进入MS-DOS窗口，输入命令：arp －a，查看网关的IP对应的正确MA C地址，并将其记录下来。 注意：如果已经不能上网，则先运行一次命令arp －d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）。一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp －a。 步骤二： 如果计算机已经有网关的正确MAC地址，在不能上网只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。 要想手工绑定，可在MS-DOS窗口下运行以下命令： arp －s 网关IP 网关MAC 例如：假设计算机所处网段的网关为192.168.1.1，本机地址为192.168.1.5，在计算机上运行arp －a后输出如下： Cocuments and Settings>arp -a Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 dynamic 其中，00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址，类型是动态（dynamic）的，因此是可被改变的。 被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找该攻击的机器做准备。 手工绑定的命令为： arp －s 192.168.1.1 00-01-02-03-04-05 绑定完，可再用arp －a查看arp缓存： Cocuments and Settings>arp -a Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 static 这时，类型变为静态（static），就不会再受攻击影响了。 但是，需要说明的是，手工绑定在计算机关机重启后就会失效，需要再次重新绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，把病毒杀掉，才算是真正解决问题。作批处理文件 在客户端做对网关的arp绑定，具体操作步骤如下： 步骤一： 查找本网段的网关地址，比如192．168．1．1，以下以此网关为例。在正常上网时，“开始→运行→cmd→确定”，输入：arp －a，点回车，查看网关对应的Physical Address。 比如：网关192.168.1.1 对应00－01－02－03－04－05。 步骤二： 编写一个批处理文件rarp.bat，内容如下：

80211协议简述

第一课IEEE 802.11协议简述 作为全球公认的局域网权威，IEEE 802工作组建立的标准在过去二十年内在局域网领域内独领风骚。这些协议包括了802.3 Ethernet协议、802.5 Token Ring协议、802.3z 100BASE－T快速以太网协议。在1997年，经过了7年的工作以后，IEEE发布了802.11协议，这也是在无线局域网领域内的第一个国际上被认可的协议。在1999年9月，他们又提出了802.11b"High Rate"协议，用来对802.11协议进行补充，802.11b在802.11的1Mbps和2Mbps速率下又增加了5.5Mbps和11Mbps两个新的网络吞吐速率。利用802.11b，移动用户能够获得同Ethernet一样的性能、网络吞吐率、可用性。这个基于标准的技术使得管理员可以根据环境选择合适的局域网技术来构造自己的网络，满足他们的商业用户和其他用户的需求。802.11协议主要工作在ISO协议的最低两层上，并在物理层上进行了一些改动，加入了高速数字传输的特性和连接的稳定性。 主要内容： 1.80 2.11工作方式 2.802.11物理层 3.802.11b的增强物理层 4.802.11数字链路层 5.联合结构、蜂窝结构和漫游 1. 80 2.11工作方式 802.11定义了两种类型的设备，一种是无线站，通常是通过一台PC机器加上一块无线网络接口卡构成的，另一个称为无线接入点(Access Point, AP)，它的作用是提供无线和有线网络之间的桥接。一个无线接入点通常由一个无线输出口和一个有线的网络接口(802.3接口)构成，桥接软件符合802.1d桥接协议。接入点就像是无线网络的一个无线基站，将多个无线的接入站聚合到有线的网络上。无线的终端可以是802.11PCMCIA卡、PCI接口、ISA接口的，或者是在非计算机终端上的嵌入式设备(例如802.11手机)。 2. 802.11物理层 在802.11最初定义的三个物理层包括了两个扩散频谱技术和一个红外传播规范，无线传输的频道定义在2.4GHz的ISM波段内，这个频段，在各个国际无线管理机构中，例如美国的USA，欧洲的ETSI和日本的MKK都是非注册使用频段。这样，使用802.11的客户端设备就不需要任何无线许可。扩散频谱技术保证了802.11的设备在这个频段上的可用性和可靠的吞吐量，这项技术还可以保证同其他使用同一频段的设备不互相影响。802.11无线标准定义的传输速率是1Mbps和2Mbps，可以使用FHSS(frequency hopping spread spectrum)和DSSS(direct sequence spread spectrum)技术，需要指出的是，FHSS和DHSS技术在运行机制上是完全不同的，所以采用这两种技术的设备没有互操作性。

图解ASA防火墙上进行ARP绑定

图解ASA防火墙上进行ARP绑定(图) 目前我公司使用的网络全是静态IP地址，在公司里面有一台ASA5505防火墙，应领导要求，在该防火墙上面要限制某部份用户不能使用某些应用（如QQ农场等），而领导的计算机不做任何限制。为了实现这些功能，我们需要在ASA 5505防火墙上面做ARP绑定，然后再使用访问控帛列表来对这些IP地址与MAC地址进行限制。具体配置很简单，那么下面就带大家一起来看看如何在ASA 5500防火墙上面配置ARP绑定呢？ 很简单的几条命令，我们就实现将下面PC的IP地址与MAC地址进行绑定了。下面我们来测试一下看看。刚才上面的IP地址与MAC地址是我笔记本无线网卡的IP地址与MAC地址（如下图）。 我们ping 192.168.0.199（防火墙内网接口地址）看看能否正常通信。

从上图我们可以看见，通过我们的无线网卡能够正常的去与我们防火墙内部接口正常通信。那么下面我将我无线网卡上面的IP地址换至有线网卡上面再测试，这样我有线网卡的MAC地址就不能与防火墙上面设置的MAC 地址匹配（如下图）。 那么我们现在再来看看能不能正常进行通信呢（如下图） 从这里我们可以很明显的看见，他不能与我们防火墙进行通信，而这样就已经实现了IP地址与MAC地址对应以后才能正常通过防火墙出去。但是这样有一点我们大家很容易忽略的，就是我们只将我们需要用的地址进行IP与MAC绑定，而其他没有用的就没有绑，那么人有使用没有绑定IP地址与MAC地址的IP去访问互联网，是能够正常出去的。下面我们来试试，我现在将我的IP地址改成192.168.0.2，这个IP地址在我当前的网络中是没有使用的，在防火墙上面也没有对该IP地址进行MAC地址绑定。 这时候我们再ping一下防火墙的内网接口地址看看能否正常通信呢？

网卡ARP静态开机绑定

通过NETSH命令解决网卡ARP学习不正常的案例 设备配置： 服务器端双网卡配置，ETH0 IP 192.168.8.253 255.255.255.0；ETH1 IP 10.3.0.8 255.255.255.0。所接设备为三台基站设备（服务器到基站由于传输需要经过两台交换机，一对光电转换），IP地址分别为192.168.8.112、192.168.8.113、192.168.8.114。服务器及基站均为静态固定IP。 故障表现： 网卡正常工作一段时间后，三台基站会相继掉线（三台基站不是同时掉），通过抓包软件，发现服务器能收到基站的广播包，但无法PING通，服务器运行arp -a 发现ETH0 网卡ARP表中丢失基站的映射信息。 通过常规手段在服务器运行ARP –S 192.168.8.X XX-XX-XX-XX-XX-XX后，提示命令无法执行。 故障分析： 重启基站/交换机后，基站与服务器能PING通，但过段时间后，仍会相断掉线，排除是基站设备和交换机的问题导致。故障定位于服务器所接网卡问题，但目前仍无得出是什么问题导致网卡的ARP学习不正常。 故障排除： 在服务器上运行命令netsh I I show in得到192.168.8.253所在的网卡IDX号 如图所示，ETH0所对应的IDX 为11 新建一个批处理文件导入服务器启动项，编辑以下信息并保存后，重启服务器 netsh -c "i i" add neighbors 11 192.168.8.112 基站MAC地址(格式为XX-XX-XX-XX-XX-XX）netsh -c "i i" add neighbors 11 192.168.8.113基站MAC地址(格式为XX-XX-XX-XX-XX-XX）netsh -c "i i" add neighbors 11 192.168.8.114基站MAC地址(格式为XX-XX-XX-XX-XX-XX）

IEEE802.11协议详细的介绍

协议X档案：IEEE 802.11协议详细介绍 作为全球公认的局域网权威，IEEE 802工作组建立的标准在过去二十年内在局域网领 域内独领风骚。这些协议包括了802.3 Ethernet 协议、802.5 Token Ring 协议、802.3z 100BASE-T快速以太网协议。在1997年，经过了7年的工作以后，IEEE发布了802.11协议，这也是在无线局域网领域内的第一个国际上被认可的协议。在1999年9月，他们又提 出了802.11b"High Rate" 协议，用来对802.11 协议进行补充，802.11b 在802.11 的1Mbps 和 2Mbps速率下又增加了 5.5Mbps和11Mbps 两个新的网络吞吐速率，后来又演进到 802.11g 的54Mbps，直至今日802.11n 的108Mbps。 802.11a 高速WLAN协议，使用5G赫兹频段。 最高速率54Mbps，实际使用速率约为22-26Mbps 与802.11b不兼容，是其最大的缺点。也许会因此而被802.11g淘汰。 802.11b 目前最流行的WLAN协议，使用2.4G赫兹频段。 最高速率11Mbps，实际使用速率根据距离和信号强度可变 （150米内1-2Mbps，50米内可达到11Mbps） 802.11b的较低速率使得无线数据网的使用成本能够被大众接受（目前接入节点的成本仅为10-30美元）。

另外，通过统一的认证机构认证所有厂商的产品，802.11b设备之间的兼容性得到了保证。兼容性促进了竞争和用户接受程度。 802.11e 基于WLAN的QoS协议，通过该协议802.11a,b,g能够进行VoIP。 也就是说，802.11e是通过无线数据网实现语音通话功能的协议。 该协议将是无线数据网与传统移动通信网络进行竞争的强有力武器。 802.11g 802.11g是802.11b在同一频段上的扩展。支持达到54Mbps的最高速率。兼容 802.11b。该标准已经战胜了802.11a成为下一步无线数据网的标准。 802.11h 802.11h是802.11a的扩展，目的是兼容其他5G赫兹频段的标准，如欧盟使用的HyperLAN2。 802.11i 802.11i是新的无线数据网安全协议，已经普及的WEP协议中的漏洞，将成为无线数据网络的一个安全隐患。802.11i提出了新的TKIP协议解决该安全问题。

win7_下用arp_命令绑定IP和MAC地址_提示“ARP_项添加失败：拒绝访问”的解决方法。

win7 下用arp命令绑定IP和MAC地址，提示“ARP 项添加失败: 拒绝访问”的解决方法。 在win7中，就算是用管理员登录了系统，运行程序的时候默认是只有普通权限的，要在CMD命令命口系统中进行一些重要的系统设置必须要以管理员的身份运行"CMD"程序。 在以前的WINDOWS系列系统中，都可以直接执行arp -s 命令绑定IP和MAC地址，但是在Win7下如果不是以管理员身份运行时会提示：“ARP 项添加失败：请求的操作需要提升。”注意窗口标题栏是没有管理员字样的。 以管理员身份运行CMD命令提示符是会显示管理员字样 但是就算以管理员身份运行也会提示错误信息“ARP 项添加失败: 拒绝访问。” (英文版提示：The ARP entry addition failed:Access is denied. )。 Win7下绑定IP和MAC地址操作和XP有所差别，Win7用户这时候就需要用netsh命令了。具体操作如下： 1、CMD中输入：netshii show in

然后找到“本地连接”对应的“Idx” (我的是“22”,下面neighbors后面的数字跟这里一致。) 2、下面在CMD输入：netsh -c "ii" add neighbors 22 “网关IP” “Mac地址“，这里22是idx号。注册前面"ii"的双引号是英文状输入，后面网关和MAC地址是不用双引号的。 ok，搞定! 再arp -a看看是不是已经绑定好了? 同理，在Win7上用arp -d并不能完全的删除绑定，必须使用netsh -c "ii" delete neighbors IDX(IDX 改为相应的数字)才可删除MAC地址绑定。 总结： 1、使用arp -a 命令查看网关的MAC网卡物理地址 2、使用netshii show in 命令查看本地连接的idx编号 3、使用netsh -c "ii" add neighbors 本地连接的idx “网关IP” “网关mac” 命令绑定 4、使用arp -a 查看结果

802.11MAC协议详解

第四章介质（媒体）访问控制子层 这是广播网的数据链路层上特有的一个子层，用于解决共享信道的分配问题。广播信道有时也称为多重访问信道（multiaccess channel）或随机访问信道（random access channel），信道也称为介质或媒体（medium），使用信道发送数据称为介质（媒体）访问，所以决定信道分配的协议就称为介质（媒体）访问控制协议。 由于大多数的局域网都使用多重访问信道作为通信的基础，而广域网大多采用点-点线路（卫星网络除外），因此本章还将讨论局域网的相关技术。 1.信道分配策略 ●静态分配：如FDM和同步TDM，这是一种固定分配信道的方式，适用于用户数少 且数量固定、每个用户通信量较大的情况。由于每个节点被分配了固定的资源（频带，时隙），因而不会有冲突发生。 ●动态分配：如异步TDM，这是一种按需分配信道的方式，适用于用户数多且数量可 变、突发通信的情况。 ◆竞争方式：各个用户竞争使用信道，不需要取得发送权就可以发送数据，这种方 式会产生冲突。 ◆无冲突方式：每个用户必须先获得发送权，然后才能发送数据，这种方式不会产 生冲突，如预约或轮转方式。 ◆有限竞争方式：以上两种方式的折衷。 2.多重访问协议 (1) ALOHA 纯ALOHA 任何用户有数据发送就可以发送，每个用户通过监听信道来判断是否发生了冲突，一旦发现有冲突则随机等待一段时间，然后再重新发送。 假设：所有帧的长度都相同，且每个帧一产生出来后就立即发送。 帧时（frame time）：发送一个标准长度的帧所需的时间； N：每帧时内系统中产生的新帧数目，一般应有0

80211协议

802.11b/g/n协议 一、符合IEEE的移动通信技术 二、802.11四种主要物理组件 1.工作站(Station) 构建网络的主要目的是为了在工作站间传送数据。所谓工作站，是指配备无线网络接口的计算设备，即支持802.11的终端设备。如安装了无线网卡的PC，支持WLAN的手机等。 2.接入点(Access Point) 802.11网络所使用的帧必须经过转换，方能被传递至其他不同类型的网络。具备无线至有线的桥接功能的设备称为接入点，接入点的功能不仅于此，但桥接最为重要。为STA提供基于802.11的接入服务，同时将802.11mac帧格式转换为以太网帧，相当于有限设备和无线设备的桥接器。 3.无线媒介(Wireless Medium) 802.11标准以无线媒介在工作站之间传递帧。其定义的物理层不只一种，802.11最初标准化了两种射频物理层(2.4GHz和5GHz)以及一种红外线物理层。 4.分布式系统(Distribution System) 当几个接入点串联以覆盖较大区域时，彼此之间必须相互通信以掌握移动式工作站的行踪。

分布式系统属于802.11的逻辑组件，负责将帧传送至目的地，将各个AP连接起来的骨干网络。 三、无线局域网的网络类型 Infrastructure网络架构可以实现多终端共用一个AP。需要AP提供接入服务，AP负责基础结构型网络的所有通信。这种网路可以提供丰富的应用，较多的STA接入数量。 Ad-hoc网络没有有线基础设施，网络节点由移动主机构成，无线网卡之间的通讯，不需要通过AP。一般是少数几个STA为了特定目的而组成的一种暂时性网络，又称特设网络。

关于win7永久性静态绑定MAC地址有效防止ARP

关于ARP欺骗/攻击反复袭击，是近来网络行业普遍了解的现象，随着ARP攻击的不断升级，不同的解决方案在市场上流传。看了一下网上的案例，对于小型局域网或家庭网络的解决方案还是挺少的，也不完整。要么就是推荐购买设备，或者是安装某个杀毒软件。今天我来写一个关于仅针对个人PC比较常用的处理手段/服务器也可以这么做，防范于未然嘛，常在网上漂，哪有不挨刀！ 首先介绍一下什么是ARP攻击/欺骗，一般计算机中的原始的ARP协议，很像一个思想不坚定，容易被其它人影响的人，ARP欺骗/攻击就是利用这个特性，误导计算机作出错误的行为。ARP攻击的原理，互联网上很容易找到，这里不再覆述。原始的ARP协议运作，会附在局域网接收的广播包或是ARP询问包，无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人，听了每一个人和他说话都信以为真，并立刻以最新听到的信息作决定。 就像一个没有计划的快递员，想要送信给"张三"，只在马路上问"张三住那儿?"，并投递给最近和他说"我就是"或"张三住那间"，来决定如何投递一样。在一个人人诚实的地方，快递员的工作还是能切实地进行;但若是旁人看快递物品值钱，想要欺骗取得的话，快递员这种工作方式就会带来混乱了。 我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见ARP攻击对象有两种，一是网络网关，也就是路由器，二是局域网上的计算机，也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员，让快递员整个工作大乱，所有信件无法正常送达;而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送物品传送给发动攻击的计算机。 主讲局域网上的计算机如何应对ARP攻击，最简单、实用的方法，也欢迎大家指点指点经验！下面拿一个我的实例来讲，了解ARP的严重性： 某高速缴费查询系统服务器，由于防火墙已使用长达8年，在更换掉新防火墙之后，三天内服务器频繁出现连接不上，直到服务器出现死机、自动重启客户给我打电话告知情况，瑞星杀毒提示14小时内不间断遭受到ARP欺骗。直接断定，一、服务器本身做有对原防火墙的网关MAC地址绑定，或者从防火墙到服务器之间的其它网络设备有MAC地址绑定/设备ARP表更新不正常；二、局域网内的其它服务器可能中了ARP病毒；说起来现在的甲方管理人员连自己网络设备的管理密码都不知道，我五体投地了，跪拜了。我无法查看三层交换的ARP地址表，只能查看防火墙的攻击事件，无任何异常。我的处理方式直接在服务器上做静态网关MAC绑定，我查看了攻击事件的详细信息，发起攻击冲突的MAC地址进行厂

H3C路由MAC绑定

H3C路由MAC绑定 2008-11-17 10:09 5.2.23 dhcp server static-bind 【命令】 dhcp server static-bind ip-address ip-address { mac-address mac-address | client-identifier client-identifier } undo dhcp server static-bind { ip-address ip-address | mac-address mac-address | client-identifier client-identifier } 【视图】 接口视图 【参数】 ip-address：静态绑定的IP 地址。必须是当前接口地址池中的合法IP 地址。mac-address：静态绑定的MAC 地址。 client-identifier：待绑定的主机ID。 【描述】 dhcp server static-bind 命令用来配置当前接口的DHCP 地址池中地址的静态绑 定，undo dhcp server static-bind 命令用来删除配置。 缺省情况下，接口地址池中没有配置静态地址捆绑。 在一个接口的所有静态绑定中，IP 地址和MAC 地址/identifier 必须是唯一的。 【举例】 # 将MAC 地址为0000-e03f-0305 与IP 地址10.1.1.1 进行静态绑定。 [H3C-GigabitEthernet1/0] dhcp server static-bind ip-address 10.1.1.1 mac-address 0000-e03f-0305 详见H3C AR 18-63-1路由器命令手册(V1.01)第391页 2.1.2 arp fixed (要先进入系统模式SYS） 【命令】 arp fixed ip-address mac-address (4位一组） undo arp ip-address （清除已绑的IP） dis arp (查看所以IP情况） arp fixup (绑定所有的IP，一次性） 【视图】 系统视图 【参数】 ip-address：为ARP 映射项的IP 地址，为点分十进制格式。 mac-address：ARP 映射项的以太网MAC 地址，格式为H-H-H。 【描述】 arp fixed 命令用来配置ARP 映射表。undo arp 命令用来取消ARP 映射表中对

ARP 绑定的意义

ARP绑定的意义 ARP协议是―Address Resolution Protocol‖（地址解析协议）的缩写。在局域网中，网络中实际传输的是―帧‖，帧里面是有目标主机的MAC地址的。在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓―地址解析‖就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 ARP协议主要负责将局域网中的32位IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址位192.168.0.1网卡MAC地址为 00-03-0F-FD-1D-2B.整个转换过程是一台主机先向目标主机发送包含有IP地址和MAC地址的数据包,通过MAC地址两个主机就可以实现数据传输了. 在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC 地址是一一对应的，如附表所示。 附表 我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是―FF.FF.FF.FF.FF.FF‖，这表示向同一网段内的所有主机发出这样的询问：―192.168.1.1的MAC地址是什么？‖网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：―192.168.1.1 的MAC地址是00-aa-00-62-c6-09‖。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过―ARP欺骗‖手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 RARP的工作原理： 1. 发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址； 2. 本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC 地址对应的IP地址； 3. 如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；

ROS IP+MAC_ARP_绑定,流量控制终极设置!

我们一般遇到攻击都会登陆winbox再利用winbox自带的工具torch来查看局域网内哪个IP发的数据比较大或包比较多来判断。。 这个我就不多说了。。论坛里有N多这方面的教程。。我这里只发一个图。

ROS IP+MAC绑定,流量控制终极设置! 用winbox登进去，ip-arp ，这时你会看到很多ip和mac地址，每一行前面还有一个D字的，你双击一个然后在它弹出框框里按tools会有一个copy 按了以后又出一个框框，然后按OK就行啦，这时你会发现这个ip前面的D 字不见的啦，绑定完毕 MAC地址+IP绑定...防止内网用户乱改IP.... 打开WINBOX...点击IP---ARP: 弹出ARP LIST的菜单,......这菜单显示当前内网在线主机的MAC IP信息....双击其中一个用户点击COPY....再点击OK...建立该用户的ARP记录.

再点击INTERFACE .....双击内网网卡LAN......在ARP选项中选择REPL Y-ONLY...意思是:绑定了的用户才能上网 在路由器上对所有工作站进入MAC绑定（以ros2.96为例）。 使用Ros2.9.6以上的版本做路由，2.90以下的不能绑定。 绑定方法： 1、用winbox进入ROS管理界面。 2、单击System→Script，出现“Script List”窗口。 3、单击“+”如图1所示处。 捆定MAC地址是为了防ARP攻击.进ROS后,system-scripts增加个(new script)在source中增上下列语句(红色部分)-OK-Run Script即可 自动扫描加入ip-arp :foreach i in [/ip arp find dynamic yes ] do={/ip arp add copy-from $i} 取消绑定 :foreach i in [/ip arp find] do={/ip arp remove $i}

DHCP服务器静态地址分配与静态ARP绑定到底有什么不同

DHCP服务器静态地址分配与静态ARP绑定到底有什么不同 2012-07-29 23:11:45| 分类：计算机与Internet | 标签：计算机 dhcp 路由器静态地址带宽控制|举报|字号订阅以下仅为个人愚见，有些观点未测试，仅为推测，如有不妥欢迎指正。 以下省略具体操作步聚，仅陈述相关问题。 首先说一下静态地址，使用路由器上网时，开启DHCP，电脑也是可以指定使用静态ip地址的，而关闭DHCP时则必须使用静态ip地址。 在开启DHCP时，如果你给电脑指定一静态ip会发生几种情况： 一、此指定ip与先上网自动通过DHCP获取动态ip的另一台电脑获得的ip相同，此时会造成ip地址冲突，结果你懂的（要修改自己的静态ip）

二、没有发生第一种情况，但能登QQ却不能浏览网页，why？原因是你没有在自己电脑上指定DNS服务器ip地址，有人会说，我不设置静态ip时也没指定DNS啊，（猜想）那是指定静态ip，ip和DNS都是自动获取的，而当你指定静态ip时，DNS也设置为手动指定了，如果不指定DNS服务器的ip，你访问网页时就不能访将网址解析成对应ip（其实此时部分网站可以用其该域名绑定的ip访问），解决办法：只要手动填入DNS（如上图）就行了。使用此https://www.wendangku.net/doc/5512866789.html,/p/namebench/downloads/list 工具可以帮你找到最快的dns。 那么，对于第一种情况，就引出了今天要讲的话题：DHCP服务器静态地址分配与静态ARP绑定到底有什么不同？

简单的说就是： DHCP服务器“静态地址分配”是保留此ip给你的网卡，不会自动分配给别人（（猜想）别人手动指定此ip应该也是可以上网的，这与下面讲到的静态ARP绑定就不一样），此时如果你指定自己电脑的静态ip为该ip，就不用担心你的ip会和别人的冲突了，但并不表示你非得使用此ip上网，如果你指定或者使用自动获取而得到其它ip，也是可以上网的。 而看上去好像和DHCP服务器静态地址分配很类似的静态ARP绑定又是怎么回事？ 这个就更“狠”了，绑定后，你电脑上必须指定为该静态ip才能上网，指定或自动获取为其它ip就断网了（连路由器192.168.1.1也打开不了了），而且别人如果指定为此ip也上不了网。

S9303上ARP绑定操作指导

S9303上ARP绑定操作指导 1．查看S9303上ARP映射表，操作如下： display arp | inclue 118.118.118.2 IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE VLAN/CEVLAN 118.118.118.2 0001-0c01-3401 15 D-0 GE9/0/11 －从以上可以看出，S9303的ARP表项包含了用户IP地址、MAC地址、老化时间、类型（D为动态S为静态）、出接口、所属VLAN等项目。我们在进行ARP绑定时必须知道用户MAC、IP地址、VLAN、出接口，才能完成用户ARP绑定。 2．查看用户的出接口，例如用户MAC地址为0001-0c01-3401，通过查看用户MAC地址获取用户出接口及所属VALN display mac 0001-0c01-3401 MAC ADDRESS VLAN/VSI/SI PORT Type Lsp/MAC－Tunnel 0001-0c01-3401 2000 GE9/0/11 D-0 可以看出，MAC地址为0001-0c01-3401的用户出接口为GE9/0/11，所属VLAN为2000。 3．通过操作1可以获取用户MAC地址对应的IP地址 4．IP地址为118.118.118.2，对应的MAC地址为0001-0c01-3401，ARP报文的出接口为GE9/0/11，且属于VLAN 2000，ARP绑定操作如下： system-view [Quidway] arp static 118.118.118.2 0001-0c01-3401 vid 2000 interface GigabitEthernet 9/0/11 5．绑定完成后可以通过查询命令确认绑定结果：

arp命令使用详解

语法 arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]] 参数 -a[ InetAddr] [ -N IfaceAddr] 显示所有接口的当前 ARP 缓存表。要显示特定 IP 地址的 ARP 缓存项，请使用带有 InetAddr 参数的 arp -a，此处的 InetAddr 代表 IP 地址。如果未指定 InetAddr，则使用第一个适用的接口。要显示特定接口的 ARP 缓存表，请将 -N IfaceAddr 参数与 -a 参数一起使用，此处的 IfaceAddr 代表指派给该接口的 IP 地址。-N 参数区分大小写。 -g[ InetAddr] [ -N IfaceAddr] 与 -a 相同。 -d InetAddr [IfaceAddr] 删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。对于指定的接口，要删除表中的某项，请使用 IfaceAddr 参数，此处的IfaceAddr 代表指派给该接口的 IP 地址。要删除所有项，请使用星号 (*) 通配符代替 InetAddr。

-s InetAddr EtherAddr [IfaceAddr] 向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的IP 地址。 /? 在命令提示符下显示帮助。 注释 ? InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。 ? EtherAddr 的物理地址由六个字节组成，这些字节用十六进制记数法表示并且用连字符隔开（比如，00-AA-00-4F-2A-9C）。 arp命令 处理系统的 ARP 缓存，可以清除缓存中的地址映射，建立新的地址映射； 语法：arp [-v][-n][-H type][-i if] -a [hostname] arp [-v][-i if] -d hostname [pub] arp [-v][-H type][-i if] -s hostname hw_addr [temp] arp [-v][-H type][-i if] -s hostname hw_addr [netmask nm] pub arp [-v][-H type][-i if] -Ds hostname ifa [netmask nm] pub arp [-v][-n][-D][-H type][-i if] -f

TP-LINK路由器设置IP与Mac绑定防止ARP欺骗

TP-LINK路由器设置IP与Mac绑定防止ARP欺骗 一、TP-LINK家用路由器设置防止ARP欺骗前的准备工作 设置IP和MAC绑定功能，先把电脑手动设定静态IP地址，若为动态获取，电脑可能就会获取到和IP与MAC绑定条目不同的IP，这样就会导致通信异常。 1、先吧TP-LINK家用路由器的DHCP功能关闭：打开TP-LINK家用路由器的管理面，“DHCP服务器”—“DHCP服务”，把状态由默认的“启用”更改为“不启用”，然后保存并重启路由器。 2、手工指定电脑的IP地址、网关、DNS服务器地址，如果不知道DNS地址的话，可以向你的网络服务商咨询。 二、设置TP-LINK家用路由器防止ARP欺骗 打开TP-LINK家用路由器的管理界面，在左侧的菜单中我们可以看到： “IP与MAC绑定”，在该项中来设置IP和MAC绑定 打开“静态ARP绑定设置”窗口如下： 这需要提醒注意的是：默认情况下载ARP绑定功能是关闭的，所以我们需要选中启用后，点击保存来启用。 在添加IP与MAC地址绑定的时候，可以通过手工来进行条目的添加，也可通过“ARP映射表”来查看IP与MAC地址的对应关系，然后通过导入后来进行绑定。 1、手工进行添加，单击“增加单个条目” 填入电脑的MAC地址与对应的IP地址后单击保存，即可实现IP与MAC地址绑定。 2、通过“ARP映射表”，导入条目进行绑定方法： 打开“ARP映射表"窗口如下： 这是TP-LINK家用路由器动态学习到的ARP表，我们可以看到状态这一栏显示”未绑定“。

如果确认这一个动态学习的表正确无误，也就是说当时网络中不存在ARP欺骗，把条目导入，并且保存为静态表。 如果存在许多电脑的话，可以点击"全部导入"，就可自动导入所有电脑的IP与MAC信息。 在导入成功以后，即可完成IP于MAC绑定的设置。如下图： 在图中我们可以看到站台中显示为已绑定，此时TP-LINK家用路由器就已经具备了防止ARP欺骗的功能。 然后返回到"ARP映射表"中我们就可以看到，电脑的IP地址与MAC地址已经绑定，在重启TP-LINK家用路由器后，该条目仍然生效。 三、设置电脑防止ARP欺骗 在设置好TP-LINK家用路由器端的ARP欺骗以后，接下来就要开始设置电脑端的ARP绑定。因为电脑的操作系统都带有ARP欺骗命令行程序，所以我们可以在其命令提示符界面来进行配置。 Windows XP系统配置方法： 点击"开始"，选择"运行"，输入"cmd"，即可打开Windows的命令提示符 然后通过"arp-s路由器的IP+路由器MAC"这一条命令来实现对TP-LINK家用路由器的ARP 条目的静态绑定，如输入：arp –s 192.168.1.1 00-0a-eb-d5-60-80，然后通过arp -a 命令输出，可以看到已经有了我们刚才添加的条目，Type类型为static表示是静态添加的。至此，我们也已经设置了电脑的静态ARP条目，这样电脑发送到路由器的数据包就不会发送到错误的地方去了。 TP-LINK家用路由器MAC地址查看方法：打开TP-LINK家用路由器的管理界面，进入"网络参数"--"LAN口设置"即可看到。 在图中看到的路由器LAN口的MAC地址就是电脑的网关的MAC地址。 为了方便大家在每次电脑重启以后不在手工输入上面的命令来实现防止ARP欺骗，我们可