网络命令nslookup和arp

今天介绍的网络命令有两个——nslookup和arp。首先我先介绍一下nslookup。

nslookup 发送域名查询包给指定的（或默认的）域名系统（DNS）服务器。取决于使用者正在使用的系统，默认值可能是使用的服务提供商的本地的DNS名字服务器，一些中间名字服务器，或者整个域名系统层次的根服务器系统。

我们可以在cmd窗口中键入：nslookup /?。查询其具体用法如下：

C:\Users\ccwang>nslookup /?

用法:

nslookup [-opt ...] # 使用默认服务器的交互模式

nslookup [-opt ...] - server # 使用 "server" 的交互模式

nslookup [-opt ...] host # 仅查找使用默认服务器的 "host"

nslookup [-opt ...] host server # 仅查找使用 "server" 的 "host"

请注意：

DNS有两种，一是普通DNS，一是根DNS，根DNS不能设置转发查询，也就是说根DNS不能主动向其他DNS发送查询请求。如果内部网络的DNS被设置为根DNS，则将不能接收网外的合法域名查询。

说白了，这命令就是为了测试你的电脑的DNS有没有问题的。

arp(Address Resolution Protocol)意思是：地址解析协议。是根据IP地址获取物理地址的一个TCP/IP协议。我们可以通过arp命令可以查看自己主机的arp缓存表，里面记录了电脑常用的几个ip地址和mac地址的对应关系。举个例子如下图：

利用arp -a命令可以很清楚的查看自己电脑的Ip和mac对应关系。

主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。

ARP缓存是个用来储存IP地址和MAC地址的缓冲区，其本质就是一个IP地址-->MAC地址的对应表，表中每一个条目分别记录了网络上其他主机的IP地址和对应的MAC地址。每一个以太网或令牌环网络适配器都有自己单独的表。当地址解析协议被询问一个已知IP地址节点的MAC地址时，先在ARP缓存中查看，若存在，就直接返回与之对应的MAC地址，若不存在，才发送ARP请求向局域网查询。

请注意：为使广播量最小，ARP维护IP地址到MAC地址映射的缓存以便将来使用。ARP缓存可以包含动态和静态项目。动态项目随时间推移自动添加和删除。每个动态ARP缓存项的潜在生命周期是10分钟。新加到缓存中的项目带有时间戳，如果某个项目添加后2分钟内没有再使用，则此项目过期并从ARP缓存中删除；如果某个项目已在使用，则又收到2分钟的生命周期；如果某个项目始终在使用，则会另外收到2分钟的生命周期，一直到10分钟的最长生命周期。静态项目一直保留在缓存中，直到重新启动计算机为止。