ARP 指令教學：在 Windows 與 macOS 上掌握 IP ↔ MAC 映射技巧

前言與學習目標

在企業網路、家庭區域網或任何基於乙太網的環境中，ARP（Address Resolution Protocol）扮演了關鍵角色。它負責將網路層的 IP 位址轉換為資料鏈路層所需的 MAC 位址，使得封包能夠被正確地送達目的裝置。本篇文章將帶您從 ARP 的基本原理、快取運作機制，到 Windows 與 macOS 兩大平台的實際操作指令，最後再延伸到自動化腳本與安全防護，幫助您在日常網管維護與故障排除時更得心應手。學完本文，您將能：

• 理解 ARP 請求與回應的完整流程
• 掌握 Windows 及 macOS 平台下的 ARP 快取查看、刪除、新增指令
• 撰寫自動化腳本定期檢查或清理 ARP 快取
• 辨識並防禦 ARP 欺騙攻擊
• 運用實務案例快速定位網路通訊問題

ARP 原理深度解析

ARP 作為網路層與資料鏈路層之間的「翻譯者」，其原理如下：當主機 A 需要將封包傳送至同一網域內的主機 B，但只知道 B 的 IP（例如 192.168.0.50）卻不知道其 MAC（例如 00-11-22-33-44-55），便會利用乙太網廣播發送「ARP 請求」封包：Who has 192.168.0.50? Tell 192.168.0.10。所有收到請求的裝置都會檢查自身 IP，匹配後的 B 即回覆一個「ARP 回應」封包，告訴 A 自己的 MAC 位址。

此過程中，ARP 請求採「廣播」（Broadcast）方式，ARP 回應則是「單播」（Unicast）。為了避免每次傳送都要重複廣播，作業系統會把映射結果暫存於 ARP 快取中，並設定一段存活時間（在 Windows 默認為 2 分鐘，macOS 可達數分鐘）。若快取條目到期或被手動刪除，系統將重啟 ARP 請求流程以更新映射。

ARP 快取機制與管理

ARP 快取（ARP Cache）類似電腦的「通訊錄」，內容包含 IP、MAC、以及條目屬性（動態 Dynamic 或 靜態 Static）。動態條目由系統自動建立並定時過期；靜態條目則由使用者手動新增，永不過期。管理快取的一般流程：

1. 查看現有快取：確認對應是否正確。
2. 刪除錯誤映射：強制系統重發 ARP 請求。
3. 新增靜態映射：針對關鍵裝置固定對應。

了解快取內部結構還能幫助您偵測 ARP 欺騙攻擊：例如多個 IP 指向同一 MAC、或同一 IP 突然對應到陌生硬體位址，都可能是惡意行為的指標。

Windows 平台操作指引

1. 查看 ARP 快取

arp -a

在命令提示字元（Command Prompt）執行後，您會看到：

• 接口（Interface）：顯示網卡名稱及 IP。
• Internet 位址：目標 IP。
• 物理位址：對應 MAC。
• 類型：Dynamic or Static。

2. 刪除單筆快取條目

arp -d 192.168.0.50

可清除指定 IP 的快取條目，使系統於下次通訊時自動重新廣播 ARP 請求，獲取最新映射。

3. 刪除整個 ARP 快取

Windows 沒有內建一次清空所有條目的指令，建議使用 PowerShell：

Get-NetNeighbor -AddressFamily IPv4 | Remove-NetNeighbor

或搭配 for 迴圈與 arp -d 逐一刪除，以達到全清。

4. 新增靜態 ARP 條目

arp -s 192.168.0.50 00-11-22-33-44-55

加入後條目永不過期。適用於不可隨意變動的關鍵設備，但若 MAC 改變需手動更新。

5. PowerShell 進階查詢

Get-NetNeighbor -AddressFamily IPv4 | Format-Table

透過 PowerShell 模組可取得更詳盡資訊，並能結合其他網管工具進行自動化。

macOS 平台操作指引

1. 查看 ARP 快取

arp -a

在終端機（Terminal）執行後，可看到類似格式：

• hostname：回應主機名
• at：MAC 位址
• on：網卡介面名稱

2. 刪除單筆快取條目

sudo arp -d 192.168.0.50

需輸入管理者密碼，操作簡單有效。

3. 新增靜態 ARP 條目

sudo arp -s 192.168.0.50 00:11:22:33:44:55

macOS 靜態條目預設會隨重啟消失，如需保留可將指令寫入 /etc/rc.local 或 LaunchDaemon。

4. 搭配 ifconfig、netstat 查看

您也可使用 ifconfig 檢查網卡狀態，或 netstat -rn 查看路由表，以確認封包路徑，並輔助 ARP 排障。

進階自動化與腳本範例

對於大型網路環境，建議撰寫腳本定期檢查 ARP 快取。以下為 Windows 與 macOS 的範例：

Windows Batch 腳本

@echo off
arp -a > arp_cache.txt
findstr /i "00-11-22-33-44-55" arp_cache.txt > nul
if errorlevel 1 (
  echo 警告：未偵測到指定 MAC！
) else (
  echo 指定 MAC 持續在線。
)

macOS Bash 腳本

#!/bin/bash
arp -a | grep "00:11:22:33:44:55" > /dev/null
if [ $? -ne 0 ]; then
  echo "警告：ARP 表中未發現指定 MAC"
else
  echo "指定 MAC 正常存在"
fi

可進一步排程（Windows Task Scheduler、cron）每天或每小時執行，並將結果郵件通知管理員。

網路安全與 ARP 欺騙防禦

ARP 欺騙（ARP Spoofing/Spoof）是一種常見的中間人攻擊：攻擊者向網路內的所有主機廣播偽造 ARP 回應，將原本的閘道器或伺服器 IP 對應到攻擊者的 MAC，藉此竊聽或攔截封包。防禦方法包括：

• 部署 Dynamic ARP Inspection (DAI)，透過交換器撈取 DHCP Snooping 資訊，驗證 ARP 來源。
• 在重要伺服器上設置靜態 ARP 條目，避免被動態修改。
• 定期比對 ARP 快取與正確清單，若異常即警示。
• 使用網路入侵偵測系統（IDS），監控 ARP 流量。

實務故障排除案例

案例一：無法連線印表機
某公司被反映無法列印，IT 人員在 Windows 主機上執行 arp -a 發現印表機 IP 的 MAC 與實體機器標籤不符，遂下 arp -d 刪除後，重新 ping 通即恢復正常。後續排查發現網段內又多了舊機器開機，造成 MAC 重複，故將印表機設為靜態 ARP 條目並加入 VLAN 隔離，問題徹底解決。

案例二：疑似 ARP 欺騙
某伺服器頻繁斷線，管理員發現同網段多台主機的閘道 IP 對應不同 MAC，初步研判有人試圖中間人攻擊。透過交換器啟用 DAI 後，一次偵測到未列入 DHCP Snooping 資訊表的偽造 ARP 封包並封鎖該埠口，攻擊立即中止，網路恢復穩定。

結語與最佳實踐

ARP 快取管理與防護是網管人員必備技能。從深入了解 ARP 通訊流程，到靈活運用 Windows / macOS 指令，乃至撰寫自動化腳本與部署防禦機制，皆能大幅提升網路穩定性與安全性。建議您在以下面向持續優化：

• 定期巡檢 ARP 快取，並比對標準清單。
• 對關鍵設備採用靜態 ARP 映射並做好變更控管。
• 結合 VLAN、DAI 等交換器功能，強化網路隔離。
• 將檢查腳本納入運維計畫，並設置警示流程。

熟練掌握 ARP 技術，便能在日常維運與突發事件中迅速定位問題、排除故障，並有效抵禦中間人攻擊，為您的網路環境打造穩固防線。