arp的工作原理(arp的工作原理流程图)

ARP是Address Resolution Protocol（地址转换协议）的简称，是TCP/IP协议中最底层的协议之一。它的作用是完成IP地址到MAC（物理地址）的转换。在局域网中两台计算机之间的通讯，或者局域网中的计算机将IP数据包转发给网关的时候，网卡都需要知道目标计算机的物理地址，以填充物理帧中的目的地址。假设同一以太网中的计算机A（192.168.0.1）需要向计算机B（192.168.0.2）发送数据报，而此时A尚不知道B的物理地址。为了获得B的物理地址，A在局域网上发送ARP广播，查询192.168.0.2这个物理地址，同时在ARP包中填入自己的物理地址Ma，相当于发出这样的询问“谁拿了192.168.0.2这个地址？请回Ma这个物理地址。”计算机B在收到了这个查询以后，以Ma为目的地址发回一个ARP包，里面包含了自己的物理地址。这样通讯的双方都了解了对方的物理地址，通讯过程正式建立。通常ARP协议都在支持广播的网络上使用，比方以太网，这种数据包不能跨物理网段使用，即不能跨越一个路由器（除路由器本身还用作ARP代理以外）。在实际的ARP协议软件的实现中还有一些应该注意的事项：每台计算机上都有一个ARP缓冲，它保存了一定数量的从IP地址到MAC地址的映射，同时当一个ARP广播到来时，虽然这个ARP广播可能与它无关，但ARP协议软件也会把其中的物理地址与IP地址的映射记录下来，这样做的好处是能够减少ARP报在局域网上发送的次数。同时，ARP缓冲中IP地址与物理地址之间的映射并不是一但生成就永久有效，每一个ARP映射表项都有自己的时延，如果过了一定的时间还没有新的ARP到来，那么这个ARP映射就从缓冲中被删除了。那么下一次计算机向这个IP地址发送数据包的时候必须来一次新的查询。本地网络IP 查找的原理。事实上Windows 本身就用ARP来确定自己的IP地址是否与网络上的另一台计算机发生了冲突。当一个ARP包到来时，Windows 如果检查到其中的IP地址与本机上的相同，而物理地址不同，这时Windows 就会向用户报告这个IP地址已经被别人占用。非常有意思的是，Windows 对待IP地址是以先来后到的顺序分配，如果已经有人先占了，那么本机的网络接口就会被禁用。这也是非常恼人的“特色”因为一旦开机后有了第一次冲突，以后的任何网络操作就都无效了。Windows XP 有了一定的进步，它在发现冲突以后并不禁用接口，而是允许用户进行修复。其实用sniffer可以看到所谓的“修复”也不过是发了几个ARP包出去，把IP“抢”回来。在以前的文章中我描述了一个用ICMP 回送请求（类似PING）进行IP查找的程序。这个程序用并发的几十个线程同时PING网络上的多台计算机，如果回送请求被正确的应答了，那么可以认为这个IP地址已经被占用，如果没有，我们就宣称它是空闲的。然而它有优点也有缺点，其优点是能够PING很远的计算机，即使不在同一个物理网段上，缺点是当目标计算机上安装了防火墙并禁止了ICMP包，或者采用了防ICMP flood 攻击的规则以后都有可能让ICMP回送请求得不到应答。ARP的优点与缺点正好与ICMP相反。它无法跨物理网段进行IP查找，但是由于没有防火墙禁止ARP包的通过（想想看，如果禁止了ARP包，也就等于不让人家知道你的物理地址，那么实际上也就是将自己的计算机同网络断开了），所以ARP包的IP查找结果一定是非常精准的。在实现了一个原始的ARP IP查找版本以后，我发现其结果并不准确，有些已经没有人使用的IP地址被错误的报成有人占用了，难道我的判断是错误的？当然不，这种错误的原因是在Windows 的ARP缓冲中。实际上，在发送一个ARP报文的时候，Windows会首先检查本机的ARP缓冲，如果发现了已经有对应的ARP表项，而且还没有过期的话，Windows 并不会发送这个报文，而是直接返回给调用者这个ARP表项的内容。这样一来，假设有计算机中途掉网，而它的ARP表项还没有过期，那么这个程序仍然能够得到它的IP到MAC的映射，自然也就会错误的宣称这个IP地址还在使用中了。在运行这个程序前，我使用arp –d（事实上，在看了本文以后，你就可以实现一个这样的arp程序了）这个命令来删除缓冲中所有的ARP表项，然后得到的结果就非常准确了。IP Helper API 提供了管理ARP缓冲的过程，所以我修改了这个程序，把arp –d的功能集成到了自己的程序中来。如果看看《使用TCP/IP协议实际网际互连（第二卷）》你就会明白ARP协议软件中的诸多问题。IP Helper API GetIpNetTable 函数能够提取出本机上的所有ARP表项。使用它的方法与上一篇文章中使用的函数相当的类似，你也必须两次使用它，第一次获得缓冲的大小，而第二次获得实际的ARP表。这个映射表是以数组的方式指出的。其结构如下：typedef struct _MIB_IPNETTABLE {DWORD dwNumEntries; //数组的大小MIB_IPNETROW table[ANY_SIZE]; //数组本身} MIB_IPNETTABLE, *PMIB_IPNETTABLE;而MIB_IPNETROW 的定义：typedef struct _MIB_IPNETROW {DWORD dwIndex; // 网络接口的索引号DWORD dwPhysAddrLen; // 物理地址长度BYTE bPhysAddr[MAXLEN_PHYSADDR]; // 物理地址DWORD dwAddr; // IP地址DWORD dwType; // ARP表项类型} MIB_IPNETROW, *PMIB_IPNETROW;其中dwType 即ARP表项类型是比较重要的东西，因为某些ARP表项一但设定就不再改变，比方本机地址的ARP表项和默认网关的地址表项等等，这些ARP表项并不会“过期”，除非网络故障或者设置改变了以后，会重新生成一次ARP查询。这种表项被称为“静态”的。此时dwType的值为4。在程序中，我们不必删除这类表项（虽然删了它们也不会造成什么后果）。然而在实际的程序中，我使用了FlushIPNetTable这个函数来删除特定网卡上的ARP缓冲。然后是删除一个表项的DeleteIpNetEntry，修改表项的SetIpNetEntry 和添加表项的CreateIpNetEntry 。还有两个管理代理ARP表项的函数，关于代理ARP，可以看看《使用TCP/IP 协议实现网际互连（第一卷）》关于ARP代理的部分，由于与我们的程序无关，就不做介绍了。最后需要详述的函数是SendARP。它的原型如下：DWORD SendARP(IPAddr DestIP, // 目的IP 地址IPAddr SrcIP, // 源IP地址，可选参数，把它填成0不会有问题PULONG pMacAddr, // 返回的物理地址PULONG PhyAddrLen // 物理地址的长度

首先，每台主机都会在自己的ARP缓冲区中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有，就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。例如：A的地址为：IP：192.168.10.1MAC:AA-AA-AA-AA-AA-AA B的地址为：IP：192.168.10.2MAC:BB-BB-BB-BB-BB-BB根据上面的所讲的原理，我们简单说明这个过程：A要和B通讯，A就需要知道B的以太网地址，于是A发送一个ARP请求广播（谁是192.168.10.2，请告诉192.168.10.1），当B收到该广播，就检查自己，结果发现和自己的一致，然后就向A发送一个ARP单播应答（192.168.10.2在BB-BB-BB-BB-BB-BB）。
ARP协议工作原理
在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址（物理地址）寻址的。因此，必须建立IP地址与MAC地址之间的对应（映射）关系，ARP协议就是为完成这个工作而设计的。 TCP/IP协议栈维护着一个ARP cache表，在构造网络数据包时，首先从ARP表中找目标IP对应的MAC地址，如果找不到，就发一个ARP request广播包，请求具有该IP地址的主机报告它的MAC地址，当收到目标IP所有者的ARP reply后，更新ARP cache。ARP cache有老化机制。

代理ARP原理：对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信，网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的 IP地址对源计算机进行应答。代理ARP就是将一个主机作为对另一个主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router，使得子网对该主机来说变得更透明化。同时也会带来巨大的风险，除了ARP欺骗，和某个网段内的ARP增加，最重要的就是无法对网络拓扑进行网络概括。代理ARP的使用一般是使用在没有配置默认网关和路由策略的网络上的。 代理ARP是ARP协议的一个变种。 原理是： 对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信，网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的 IP地址对源计算机进行应答。代理ARP就是将一个主机作为对另一个主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router，使得子网对该主机来说变得更透明化。同时也会带来巨大的风险，除了ARP欺骗，和某个网段内的ARP增加，最重要的就是无法对网络拓扑进行网络概括。代理ARP的使用一般是使用在没有配置默认网关和路由策略的网络上的。
代理ARP是ARP协议的一个变种。 原理是： 对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信，网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的 IP地址对源计算机进行应答。代理ARP就是将一个主机作为对另一个主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router，使得子网对该主机来说变得更透明化。同时也会带来巨大的风险，除了ARP欺骗，和某个网段内的ARP增加，最重要的就是无法对网络拓扑进行网络概括。代理ARP的使用一般是使用在没有配置默认网关和路由策略的网络上的。
代理ARP是ARP协议的一个变种。 对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信，网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的 IP地址对源计算机进行应答。代理ARP就是将一个主机作为对另一个主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router，使得子网对该主机来说变得更透明化。同时也会带来巨大的风险，除了ARP欺骗，和某个网段内的ARP增加，最重要的就是无法对网络拓扑进行网络概括。代理ARP的使用一般是使用在没有配置默认网关和路由策略的网络上的。
ARP高速缓存中的某一项内容（这个命令格式可以在运行一些例子之前使用，以让我们看清楚ARP的交换过程）。 另外，可以通过选项- s来增加高速缓存中的内容。这个参数需要主机名和以太网地址：对应于主机名的IP地址和以太网地址被增加到高速缓存中。新增加的内容是永久性的（比如，它没有超时值），除非在命令行的末尾附上关键字temp。位于命令行末尾的关键字pub和-s选项一起，可以使系统起着主机ARP代理的作用。系统将回答与主机名对应的IP地址的ARP请求，并以指定的以太网地址作为应答。如果广播的地址是系统本身，那么系统就为指定的主机名起着委托ARP代理的作用。在大多数的TCP/IP实现中，ARP是一个基础协议，但是它的运行对于应用程序或系统管理员来说一般是透明的。ARP高速缓存在它的运行过程中非常关键，我们可以用ARP命令对高速缓存进行检查和操作。高速缓存中的每一项内容都有一个定时器，根据它来删除不完整和完整的表项。ARP命令可以显示和修改ARP高速缓存中的内容。
内网的机器想要知道外网的IP主机的MAC地址，但是我们知道MAC是工作在数据链路层，MAC是不可能跨路由的，所以，可以通过网关的MAC绑定源主机的IP来实现通信！这就是代理ARP。

ARP--地址解析协议，其实ARP包括两个协议，即ARP和RARP。前者是地址解析协议，即将物理地址转化为IP地址，这个是给电脑用的；后者是反地址解析协议，即将IP地址转化为物理地址，这个主要方便人来记忆的！ 这里面用到的原理主要还是数学上面的映射原理，即一个IP地址与一个物理地址一一对应，解析通过DNS服务器，层层查找地址，最后，找到该地址正确的位置！
ARP欺骗的攻击以其特有的灵活性和高成功率被入侵者所青眯，并且在内网中，这种方法被广泛应用，以至于ARp被称为局域网杀手。 知道网络上的两个节点之间要通信的话都必须遵循一个规则，这个规则是协议，比如最常见的Tcp/IP。其中TCp保证连接以及数据传送的可靠性，而IP则保证把数据包发送到指定位置，因此可以接受数据包的节点必须有个地址，在TCP/IP网络中这个地址就是IP地址，数据就是根据这个地址在网络上传送的。而数据包在到达了最基层的局域网或直接在局域网中传送的时候，寻找目的地不仅仅要依靠Ip地址来识别了。在局域网中，或者我们更精确地说在以太网中,网卡和双绞线组成了数据传送物理终点和传送介质，一个数据包要想到达某台计算机，它必须找到这台计算机的网卡。网卡也有一个地址的，我们称作MAC地址。每一个网卡在被生产出厂的时候都被分配给一个MAC地址，而理论上这个地址是唯一确定的。MAC地址是以-符号分割的六组两个十六进制数组合的一个字符串，如34-C9-08-AE-E9-21，这是MAC的标准式书写，以太网中就是基于MAC地址通信的。在TCP/IP网络中，IP地址是不可少的，遵循TCP/IP协议的软件在发送数据的时候指定地址都必须是一个IP地址，这就要求以太网具有把IP地址转换为MAC地下的能力，这样TCP/IP通信才能正常进行，ARP协议由些而生。ARP即地址解析协议，它负责把IP地址转换为相应的MAC地址。说是相应的，因为每个局域网的计算机在最初进行网络设置的时候，设置一个静态IP，操作系统就会把这个IP和网卡的MAC地址绑定在一起，而如果使用了DHCP服务器分配动态的IP，则在分配到IP的时候，这个IP也就和MAC地址绑定了，也就是形成了一种IP地址和MAC地址对应关系。 看大家最近受ARP攻击的板友不少，查了一些资料整理出来了一些关于ARP方面的知识，希望大家能了解ARP，随后还有一些，今天发上这点，随时整理随时加上，全面的了解ARP工作原理从根本上去解决它。

你好，ARP病毒原理如下：arp病毒利用arp协议的漏洞进行传播，通常此类攻击的手段有两种：路由欺骗和网关欺骗。如果中了这个病毒，建议按下面两步来处理：1、首先开启腾讯电脑管家的ARP防火墙2、重启计算机进入安全模式（重启按F8进入），使用腾讯电脑管家进行全盘查杀有其他问题欢迎到电脑管家企业平台咨询，我们将竭诚为您服务！
要了解故障原理，我们先来了解一下ARP协议。 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。主机 IP地址 MAC地址A 192.168.16.1 aa-aa-aa-aa-aa-aaB 192.168.16.2 bb-bb-bb-bb-bb-bbC 192.168.16.3 cc-cc-cc-cc-cc-ccD 192.168.16.4 dd-dd-dd-dd-dd-dd我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，嗅探成功。A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。【HiPER用户快速发现ARP欺骗木马】在路由器的“系统历史记录”中看到大量如下的信息（440以后的路由器软件版本中才有此提示）：MAC Chged 10.128.103.124MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。 如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。
ARP欺骗的原理 网络执法官中利用的ARP欺骗使被攻击的电脑无法上网，其原理就是使该电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢？知其然，知其所以然是我们《黑客X档案》的优良传统，下面我们就谈谈这个问题。首先给大家说说什么是ARP,ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia--物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。 网络执法官利用的就是这个原理！知道了它的原理，再突破它的防线就容易多了。
1、ARP概念 ARP,ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。2、 ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia--物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。作为网吧路由器的厂家，对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做，称其为IP-MAC双向绑定。显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议之后才可用。arp -a [inet_addr] [-N [if_addr]arp -d inet_addr [if_addr]arp -s inet_addr ether_addr [if_addr]参数-a通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr，则只显示指定计算机的 IP 和物理地址。-g与 -a 相同。inet_addr以加点的十进制标记指定 IP 地址。-N显示由 if_addr 指定的网络界面 ARP 项。if_addr指定需要修改其地址转换表接口的 IP 地址（如果有的话）。如果不存在，将使用第一个可适用的接口。-d删除由 inet_addr 指定的项。-s在 ARP 缓存中添加项，将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物理地址由以连字符分隔的6 个十六进制字节给定。使用带点的十进制标记指定 IP 地址。项是永久性的，即在超时到期后项自动从缓存删除。ether_addr 指定物理地址。