Windows系統(tǒng)取消ARP綁定一、Windows 下ARP協(xié)議工作原理簡述

一、Windows 下ARP協(xié)議工作原理簡述

ARP協(xié)議（Address Resolve Protocol，地址解析協(xié)議）工作TCP/IP協(xié)議的第二層：數(shù)據(jù)鏈路層，用于將IP地址協(xié)議轉(zhuǎn)換為網(wǎng)絡(luò)接口的硬件地址（媒體訪問控制地址，即MAC地址），無論是任何高層協(xié)議的通訊，最終都將轉(zhuǎn)換為數(shù)據(jù)鏈路層硬件地址的通訊。

每臺計算機都存有一個緩存MAC地址的ARP緩存列表，可通過ARP -a 來查看當(dāng)前的ARP緩存列表，此ARP緩存列表為動態(tài)更新，可通過ARP -s來靜態(tài)綁定IP地址和MAC地址，在Windows server 2003中靜態(tài)綁定的項不會被動態(tài)更新，直到TCP/IP 協(xié)議終止，比如重啟計算機；若要永久創(chuàng)建靜態(tài)綁定項，則需要借助計劃任務(wù)在啟動計算機時執(zhí)行該腳本執(zhí)行，此操作不在本文說明范圍。

二、取消ARP靜態(tài)綁定

針對Windows Server 2008 系統(tǒng)，在DOS命令行（PowerShell ）中運行：arp -a 進行查看，具體見附圖，若服務(wù)器IP為 192.168.199.111 , 可看到在 “Internet地址” 和“物理地址” 條目中發(fā)現(xiàn) 服務(wù)器IP 與對應(yīng)的mac地址值，說明IP和MAC地址已綁定；

若要解除綁定，可運行：netsh i i show in 查到 Idx 值，比如測試服務(wù)器的Idx值為11 。

再運行：netsh -c "i i" delete neighbors 11 刪除已綁定值即可，命令中“11”即為查詢出來的Idx值，再次運行arp -a ，如下圖，相關(guān)綁定記錄值已取消了。

三、部分安全軟件的ARP防火墻設(shè)置

（一）由于較多的用戶會在服務(wù)器上安裝防護軟件，如：安全狗、云鎖、主機衛(wèi)士、AntiARP防火墻、火絨等，這些軟件安裝后不會默認(rèn)進行arp綁定設(shè)置，可參考前述方法進行查看，但部分存在arp防火墻等設(shè)置，在此單獨說明下安全狗arp防火墻相關(guān)設(shè)置，在實際使用過程中存在功能認(rèn)識上的偏差，比如下圖情況，常有用戶反饋存在arp攻擊，而實際上為正常的arp請求數(shù)，此為正常的情況。

還有，由于不排除機房網(wǎng)絡(luò)升級等緣故，導(dǎo)致MAC變更，在開啟arp防火墻的情況下，存在被安全狗誤認(rèn)為有網(wǎng)關(guān)IP欺騙攻擊的可能，給用戶在使用上帶來困擾，可嘗試在arp防火墻設(shè)置頁中嘗試重新操作“自動獲取”操作，并查看重新獲取之后的記錄；或可直接將ARP防火墻進行關(guān)閉。

（二）antiARP防火墻用在Windows Server 2003 32位系統(tǒng)下，設(shè)置不當(dāng)將導(dǎo)致服務(wù)器網(wǎng)絡(luò)無法連接，需要排查：高級參數(shù)設(shè)置 --- 常規(guī)，是否手動設(shè)置了網(wǎng)關(guān)IP 和 MAC綁定；并在路由選項卡中查看是否添加了其他可信路由。