1. 局域網內大量arp請求包

查看ARP緩存表方法：

一：在Windows下查看ARP緩存信息是通過DOS命令來完成的，點擊"開始"菜單，選擇"命令"，輸入 cmd 即可進入命令提示符窗口。

二：在命令提示符窗口中鍵入 arp -a 可以查看ARP緩存中的內容。

三：在命令提示符窗口中鍵入 arp -d 或 arp -d 可以刪除指定IP或全部的ARP緩存記錄。

arp緩存表是指在以太局域網內數據包傳輸依靠的是MAC地址，IP地址與MAC對應的關系依靠ARP表，每臺安裝有TCP/IP協議的主機(包括網關)都有一個ARP緩存表。該表中保存這網絡中各個電腦的IP地址和MAC地址的對照關系。

正常情況下arp緩存表能夠有效的保證數據傳輸的一對一性。但是ARP協議對應的ARP緩存表維護機制中存在不完善的地方，當主機收到一個ARP的應答包后，它并不驗證自己是否發送過這個ARP請求，而是直接將應答包里的MAC地址與IP對應的關系替換掉原有的ARP緩存表里的相應信息。這就是導致arp欺騙的根本原因。

2. arp協議抓包

1.主機會通過廣播發送 ARP 請求，這個包中包含了想要知道的 MAC 地址的主機 IP 地址。

2.當同個鏈路中的所有設備收到 ARP 請求時，會去拆開 ARP 請求包里的內容，如果 ARP 請求包中的目標 IP 地址與自己的 IP 地址一致，那么這個設備就將自己的 MAC 地址塞入 ARP 響應包返回給主機。

3.操作系統通常會把第一次通過 ARP 獲取的 MAC 地址緩存起來，以便下次直接從緩存中找到對應 IP 地址的 MAC 地址。

不過，MAC 地址的緩存是有一定期限的，超過這個期限，緩存的內容將被清除

3. 哪些主機收到了arp請求包

ARP協議是“Address Resolution Protocol”（地址解析協議）的縮寫。在局域網中，網絡中實際傳輸的是“幀”，幀里面是有目標主機的MAC地址的。

在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。

ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

ARP（AddressResolutionProtocol）地址解析協議用于將計算機的網絡地址（IP地址32位）轉化為物理地址（MAC地址48位）[RFC826]。ARP協議是屬于鏈路層的協議，在以太網中的數據幀從一個主機到達網內的另一臺主機是根據48位的以太網地址（硬件地址）來確定接口的，而不是根據32位的IP地址。

內核（如驅動）必須知道目的端的硬件地址才能發送數據。當然，點對點的連接是不需要ARP協議的。 為了解釋ARP協議的作用，就必須理解數據在網絡上的傳輸過程。

這里舉一個簡單的PING例子。

假設我們的計算機IP地址是192.168.1.1，要執行這個命令：ping192.168.1.2。

該命令會通過ICMP協議發送ICMP數據包。

該過程需要經過下面的步驟：

1、應用程序構造數據包，該示例是產生ICMP包，被提交給內核（網絡驅動程序）；

2、內核檢查是否能夠轉化該IP地址為MAC地址，也就是在本地的ARP緩存中查看IP-MAC對應表；

3、如果存在該IP-MAC對應關系，那么跳到步驟9；如果不存在該IP-MAC對應關系，那么接續下面的步驟；

4、內核進行ARP廣播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令類型為REQUEST（1），其中包含有自己的MAC地址；

5、當192.168.1.2主機接收到該ARP請求后，就發送一個ARP的REPLY（2）命令，其中包含自己的MAC地址；

6、本地獲得192.168.1.2主機的IP-MAC地址對應關系，并保存到ARP緩存中；

7、內核將把IP轉化為MAC地址，然后封裝在以太網頭結構中，再把數據發送出去； 使用arp-a命令就可以查看本地的ARP緩存內容，所以，執行一個本地的PING命令后，ARP緩存就會存在一個目的IP的記錄了。

當然，如果你的數據包是發送到不同網段的目的地，那么就一定存在一條網關的IP-MAC地址對應的記錄。 知道了ARP協議的作用，就能夠很清楚地知道，數據包的向外傳輸很依靠ARP協議，當然，也就是依賴ARP緩存。要知道，ARP協議的所有操作都是內核自動完成的，同其他的應用程序沒有任何關系。同時需要注意的是，ARP協議只使用于本網絡。

4. 交換機端口接收過多arp包

先說一下為什么要有代理arp：如果ARP請求是從一個網絡的主機發往同一網段卻不在同一物理網絡上的另一臺主機，那么連接它們的具有代理ARP功能的設備就可以回答該請求，這個過程稱作代理ARP(ProxyARP)。

代理ARP分為代理ARP和本地代理ARP。同一網段內連接到設備的不同VLAN接口的主機可以利用設備的代理ARP功能，通過三層轉發實現互通。為了實現三層互通，在下面兩種情況之一需要開啟本地代理ARP功能。

連接到交換機同一個VLAN，相互隔離的端口下的設備要實現三層互通；交換機下掛的設備使能Isolate-user-vlan功能后，屬于不同SecondaryVLAN下的設備要實現三層互通。由此可見，代理arp的功能是做什么的。

默認交換機下是關閉代理arp的。如果在沒有需求的情況下開啟了代理arp的功能，可能會導致路由環路等問題出現。

5. arp包過多

1、檢查網絡設備、網線是否有損壞，排除了硬件設備故障。

2、檢查內網是否經常有人大量下載或者使用P2P終結者等攻擊軟件。通過觀察和走訪發現也不是這個原因造成的，公司同事對電腦技術懂的很少，并且公司有明確規定，上班時間不允許看視頻和下載東西。

3、檢查內網是否存在網絡病毒、網絡攻擊。使用sniffer抓包分析網絡流量，發現內網充斥大量的異常數據，并且有ARP攻擊、DDOS攻擊。至此可以確定本次網絡問題是由于內網攻擊造成的。

確定了故障原因，下一步就是使用合適的解決辦法。在使用了ARP防火墻、IP-MAC綁定之后，發現網絡掉線依舊，并沒有很好的改善。束手無策之際，一位師兄給我指明了方向，網絡問題要用網絡方法解決。

我查了大量資料，終于弄清了ARP攻擊的原理：ARP不是病毒，而是一種“協議性攻擊行為”，只所以稱之為病毒，是因為目前ARP攻擊工具的傳播方式與發作現象已經愈來愈接近病毒。ARP（地址解釋協議）是網絡通信協議中的不可缺少的關鍵協議，它是負責將IP地址轉換為對應MAC地址的協議。ARP的存在給了好事者可趁之機，但如果缺少了ARP協議，網絡設備之間將無法進行通訊，這是為什么對ARP投鼠忌器的主要原因。

ARP病毒可分為兩種，一種是ARP欺騙，一種是ARP攻擊。ARP欺騙最先是黑客們偷盜網絡賬號使用的，后來被廣泛用于類似網路崗、網絡執法官之類的網絡管理工具，被騙主機會將數據發送給偽裝的主機，從而達到截獲數據的目的。而ARP攻擊純粹是以破壞網絡通訊為主要目的，發送虛假的ARP請求包或應答包，使得網絡內所有主機都失去了有序的組織和聯系。

ARP病毒的傳播，必須有“肉雞”，就是容易被感染的宿主機，通過得到宿主機的控制權來發送ARP欺騙、虛假的ARP請求包和應答包。由于沒有明顯的特征字以及ARP在網絡通訊中的重要地位，防毒墻和防火墻應對ARP病毒也束手無策。所以從源頭上堵住問題數據的流出，同時放行合法的ARP數據包，才是徹底擺脫ARP困擾的終極解決方案。

這是由于以太網協議存在漏洞造成的，也就是為什么ARP防火墻、360、IP-MAC綁定出現這么久之后，ARP攻擊還是一直無法防治的原因，ARP防火墻、360防不了ARP攻擊！

并且目前信息網絡問題頻出，掉線、網速慢、內網服務器訪問緩慢等，很多并不在于網絡設備的高級低級，也不在于防火墻、殺毒等手段的實施，它的根源就在于以太網協議存在先天漏洞、不擅長管理這兩大弊端。一旦這個弊端被黑客利用，內網的每一臺PC都可能成為攻擊源，從內網發起攻擊。而PC被感染的途徑太多，訪問網頁、收郵件、聊天下載、移動筆記本、插U盤等等，都可能中招，防不勝防。統計數據表明，網絡問題80%是內網引起的，就是這個原因。

目前的網絡安全產品，防火墻、UTM防御外網對內網的攻擊，殺毒軟件保證單機安全，而防護內網的產品卻很少。后來找到了一家專門針對內網基礎安全、解決內網攻擊的產品---免疫墻技術。

免疫墻能夠將普通網絡升級為免疫網絡，從網絡底層、每個終端上進行防控監測，不僅能防止本機不受攻擊，還能攔截本機對外的網絡攻擊。安裝在PC機上的免疫墻終端能夠完成對MAC-IP的看守式綁定，徹底根除ARP病毒影響，即使本機中毒（刪除本機的靜態綁定列表），也不能對自身和網絡造成影響。加固網絡基礎安全，填補以太網協議漏洞，能夠徹底有效的解決內網攻擊問題。

并且免疫墻的技術范圍能夠拓展到網絡的最末端，深入到協議的最底層、盤查到外網的出入口、總覽到內網的最全貌，使網絡本身具有自主防御和管理的功能，網絡可控、可管、可防、可觀。

使用了免疫墻技術之后，在免疫墻的監控界面中看到了攔截了很多網絡攻擊，現在網絡很穩定，沒有再出現過掉線了。

在遇到網絡問題時，我們一定要思路清晰，確定排查方案，在找到故障原因后，確定解決方案。并且要不恥下問，多向他人請教；查閱資料，了解新技術，把握網絡技術的發展

6. ARP請求包

1、TCP屬于面向連接的協議，UDP屬于面向無連接的協議

2、TCP可以保證數據可靠、有序的傳輸，可以進行流量控制，UDP無法實現。

3、TCP協議有效載荷小于UDP協議（基于MSS計算），UDP性能高于TCP

4、TCP一般用于可靠的，對延時要求不高的應用，UDP一般應用于小數據量或對延時敏感的應用。

arp:在TCP/IP協議中，A給B發送IP包時，在A不知道B的MAC地址的情況下，A就廣播一個ARP請求包，請求包中填有B的IP(192.168.1.2)，以太網中的所有計算機都會接收這個請h求，而正常的情況下只有B會給出ARP應答包，包中就填充上了B的MAC地址，并回復給A。A得到ARP應答后，將B的MAC地址放入本機緩存，便于下次使用。

7. arp請求數據包

ARP地址解析過程

假設主機A和B在同一個網段，主機A要向主機B發送信息。具體的地址解析過程如下：

(1) 主機A首先查看自己的ARP表，確定其中是否包含有主機B對應的ARP表項。如果找到了對應的MAC地址，則主機A直接利用ARP表中的MAC地址，對IP數據包進行幀封裝，并將數據包發送給主機B。

(2) 如果主機A在ARP表中找不到對應的MAC地址，則將緩存該數據報文，然后以廣播方式發送一個ARP請求報文。ARP請求報文中的發送端IP地址和發送端MAC地址為主機A的IP地址和MAC地址，目標IP地址和目標MAC地址為主機B的IP地址和全0的MAC地址。由于ARP請求報文以廣播方式發送，該網段上的所有主機都可以接收到該請求，但只有被請求的主機（即主機B）會對該請求進行處理。

(3) 主機B比較自己的IP地址和ARP請求報文中的目標IP地址，當兩者相同時進行如下處理：將ARP請求報文中的發送端（即主機A）的IP地址和MAC地址存入自己的ARP表中。之后以單播方式發送ARP響應報文給主機A，其中包含了自己的MAC地址。

(4) 主機A收到ARP響應報文后，將主機B的MAC地址加入到自己的ARP表中以用于后續報文的轉發，同時將IP數據包進行封裝后發送出去。

8. arp請求包傳播方式

要看病毒類型，并不是所有的病毒都會傳播的。一般在同一個網絡的，蠕蟲病毒會通過系統的文件共享服務的漏洞進行感染，而有些則會用ARP進行網關欺騙等方法進行傳播或者用系統的漏洞進行傳播。

9. 網絡上有大量arp包怎么辦

ARP（Address Resolution Protocol，地址解析協議）是一個位于TCP/IP協議棧中的底層協議，負責將某個IP地址解析成對應的MAC地址。

ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行。ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。ARP攻擊主要是存在于局域網網絡中，局域網中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其它計算機的通信故障

10. 局域網內大量arp請求包怎么刪除

arp病毒并不是某一種病毒的名稱，而是對利用arp協議的漏洞進行傳播的一類病毒的總稱。arp協議是TCP/IP協議組的一個協議，用于進行把網絡地址翻譯成物理地址（又稱MAC地址）。通常此類攻擊的手段有兩種：路由欺騙和網關欺騙。是一種入侵電腦的木馬病毒。

故障現象

當局域網內有某臺電腦運行了此類ARP欺騙的木馬的時候，其他用戶原來直接通過路由器上網切換到病毒主機上網后，那么病毒主機就會經常偽造斷線的假像。由于ARP欺騙的木馬發作的時候會發出大量的數據包導致局域網通訊擁塞，用戶會感覺上網速度越來越慢。當木馬程序停止運行時，用戶會恢復從路由器上網，切換中用戶會再斷一次線。

該機一開機上網就不斷發Arp欺騙報文，即以假冒的網卡物理地址向同一子網的其它機器發送Arp報文，甚至假冒該子網網關物理地址蒙騙其它機器，使網內其它機器改經該病毒主機上網，這個由真網關向假網關切換的過程中其它機器會斷一次網。倘若該病毒機器突然關機或離線，則其它機器又要重新搜索真網關，于是又會斷一次網。所以會造成某一子網只要有一臺或一臺以上這樣的病毒機器，就會使其他人上網斷斷續續，嚴重時將使整個網絡癱瘓。這種病毒（木馬）除了影響他人上網外，也以竊取病毒機器和同一子網內其它機器上的用戶帳號和密碼（如QQ和網絡游戲等的帳號和密碼）為目的，而且它發的是Arp報文，具有一定的隱秘性，如果占系統資源不是很大，又無防病毒軟件監控，一般用戶不易察覺。這種病毒開學初主要發生在學生宿舍，據最近調查，現在已經在向辦公區域和教工住宅區域蔓延，而且呈越演越烈之勢現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。

解決方案

ARP病毒一般出現局域網，在路由上進行綁定MAC地址，現在好多路由器或上網行為管理軟件都支持不定時自動廣播網關的，可以達到預防ARP病毒的情形。最好的辦法就是在路由和本機都進行整個網絡的IP與MAC地址的全部綁定，也就是把ARP的映射又動態變為靜態的，這樣就算有病毒，也影響不了其它電腦。

還就是最好有整個網絡的IP MAC對應表，然后在安裝有ARP防火墻的電腦上查看病毒電腦的IP，IP可能自動變，因為有時候不一定只是一臺中毒。主要查看MAC的地址，然后在表格里查看對應的是那臺主機，拔掉網線，查殺病毒。現在一般查殺木馬惡意軟件的工具，都可以查殺。

如果交換機支持VLAN 的話，就比較好了，因為ARP病毒是通過廣播來傳播的，劃分了VALN就達到了隔離的目的。在較小的范圍里進行查殺。

主要就是要定時檢查那臺電腦沒有安裝殺毒軟件，感染病毒的機率很大。公司查到的幾臺電腦全是沒有安裝殺毒軟件。。。。

祝你好運。。。。

11. 局域網大量arp廣播包

首先，這兩個本質上是一樣的。ARP綁定也是IP/MAC綁定，ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行。

先來了解什么是ARP欺騙？

①在局域網中，黑客經過收到的ARP Request廣播包，能夠偷聽到其它節點的 (IP, MAC) 地址, 黑客就偽裝為A，告訴B (受害者) 一個假地址，使得B在發送給A 的數據包都被黑客截取，而A, B 渾然不知。

②為什么黑客能夠進行ARP欺騙？ ARP 是個早期的網絡協議，RFC826在 1980就出版了。早期的互聯網采取的是信任模式，在科研、大學內部使用，追求功能、速度，沒考慮網絡安全。尤其以太網的泛洪特點，能夠很方便的用來查詢。但這也為日后的黑客開了方便之門。黑客只要在局域網內閱讀送上門來的ARP Request就能偷聽到網內所有的 (IP, MAC)地址。而節點收到ARP Reply時，也不會質疑。黑客很容易冒充他人。

那么做了ARP綁定后有什么好處呢？

答：可有效的防止ARP攻擊和欺騙導致的網絡異常

總結

以上是生活随笔為你收集整理的arp电脑一次发很多数据包(局域网内大量arp请求包)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。