为了保护自己不被局域网中的扫描器探测到,我们一般会在Windows自带的防火墙中关闭icmp协议,这样别人就无法Ping到自己,但使用arp协议却可让你无处藏身。
icmp工作在网络层,arp协议是更底层的。arp是地址转换协议,在局域网中机器之间的通话是根据物理地址(网卡Mac)识别的,而应用程序一般根据ip通讯,当我们需要与局域网中某一ip通话时,就在网上喊一嗓子:谁是x.x.x.x啊,如果此ip在线就会应答:我就是,我的mac是x-x-x-x-x,这就实现了ip到mac的转换,这个协议是无法屏蔽的,否则机器无法与任人任何机器通话,与拔掉网线没有区别。
在Windows上的实现步骤:
1. 先Ping x.x.x.x,如果通,则在线,否则再进行下一步。
2. arp -A x.x.x.x,看是否存在对应的mac,如果存在,则在线,否则真的不在线。
现在不少扫描器已不用ping而改用arp来探测机器是否在线了,这样我样基本无处藏身。
通过arp -s 网关ip 网关mac 设置静态数据,一定程度上防止arp欺诈。