什么是ARP
ARP（Address Resolution Protocol）是地址解析協議，是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網絡層（也就是相當于OSI的網絡層）地址解析為數據鏈路層（也就是相當于OSI的數據鏈路層）的物理地址(注:此處物理地址并不一定指MAC地址)。
ARP原理：某機(ji)器A要向主(zhu)機(ji)B發(fa)送報(bao)文(wen)(wen)，會查(cha)詢本(ben)地(di)(di)(di)的(de)(de)ARP緩(huan)存表，找(zhao)(zhao)到(dao)(dao)B的(de)(de)IP地(di)(di)(di)址(zhi)(zhi)(zhi)對應的(de)(de)MAC地(di)(di)(di)址(zhi)(zhi)(zhi)后(hou)，就會進行數據(ju)(ju)傳(chuan)輸。如果(guo)未找(zhao)(zhao)到(dao)(dao)，則廣(guang)播A一個(ge)ARP請求報(bao)文(wen)(wen)（攜帶主(zhu)機(ji)A的(de)(de)IP地(di)(di)(di)址(zhi)(zhi)(zhi)Ia——物理地(di)(di)(di)址(zhi)(zhi)(zhi)Pa），請求IP地(di)(di)(di)址(zhi)(zhi)(zhi)為Ib的(de)(de)主(zhu)機(ji)B回答物理地(di)(di)(di)址(zhi)(zhi)(zhi)Pb。網(wang)上所有(you)主(zhu)機(ji)包括B都收到(dao)(dao)ARP請求，但(dan)只有(you)主(zhu)機(ji)B識(shi)別自己的(de)(de)IP地(di)(di)(di)址(zhi)(zhi)(zhi)，于是向A主(zhu)機(ji)發(fa)回一個(ge)ARP響應報(bao)文(wen)(wen)。其中就包含有(you)B的(de)(de)MAC地(di)(di)(di)址(zhi)(zhi)(zhi)，A接收到(dao)(dao)B的(de)(de)應答后(hou)，就會更新本(ben)地(di)(di)(di)的(de)(de)ARP緩(huan)存。接著使用這個(ge)MAC地(di)(di)(di)址(zhi)(zhi)(zhi)發(fa)送數據(ju)(ju)（由網(wang)卡(ka)附加MAC地(di)(di)(di)址(zhi)(zhi)(zhi)）。因此，本(ben)地(di)(di)(di)高速(su)緩(huan)存的(de)(de)這個(ge)ARP表是本(ben)地(di)(di)(di)網(wang)絡流通的(de)(de)基礎(chu)，而且這個(ge)緩(huan)存是動態(tai)的(de)(de)。

什么是ARP欺騙
ARP協議并(bing)不(bu)只(zhi)在發送了ARP請求才接(jie)收ARP應(ying)答(da)(da)(da)。當(dang)計算(suan)機接(jie)收到(dao)ARP應(ying)答(da)(da)(da)數(shu)據包(bao)的(de)(de)(de)(de)(de)時(shi)候，就會對本(ben)地(di)(di)的(de)(de)(de)(de)(de)ARP緩存(cun)進行(xing)(xing)(xing)更新，將應(ying)答(da)(da)(da)中(zhong)(zhong)的(de)(de)(de)(de)(de)IP和(he)MAC地(di)(di)址(zhi)存(cun)儲(chu)在ARP緩存(cun)中(zhong)(zhong)。因此，當(dang)局域(yu)(yu)網(wang)(wang)中(zhong)(zhong)的(de)(de)(de)(de)(de)某(mou)臺機器B向(xiang)A發送一(yi)個(ge)自己(ji)偽造(zao)(zao)的(de)(de)(de)(de)(de)ARP應(ying)答(da)(da)(da)，而(er)(er)如(ru)果(guo)這(zhe)個(ge)應(ying)答(da)(da)(da)是(shi)(shi)B冒充(chong)C偽造(zao)(zao)來的(de)(de)(de)(de)(de)，即IP地(di)(di)址(zhi)為C的(de)(de)(de)(de)(de)IP，而(er)(er)MAC地(di)(di)址(zhi)是(shi)(shi)偽造(zao)(zao)的(de)(de)(de)(de)(de)，則當(dang)A接(jie)收到(dao)B偽造(zao)(zao)的(de)(de)(de)(de)(de)ARP應(ying)答(da)(da)(da)后，就會更新本(ben)地(di)(di)的(de)(de)(de)(de)(de)ARP緩存(cun)，這(zhe)樣(yang)在A看來C的(de)(de)(de)(de)(de)IP地(di)(di)址(zhi)沒(mei)有變，而(er)(er)它的(de)(de)(de)(de)(de)MAC地(di)(di)址(zhi)已(yi)經不(bu)是(shi)(shi)原來那個(ge)了。由于局域(yu)(yu)網(wang)(wang)的(de)(de)(de)(de)(de)網(wang)(wang)絡(luo)流通不(bu)是(shi)(shi)根據IP地(di)(di)址(zhi)進行(xing)(xing)(xing)，而(er)(er)是(shi)(shi)按照MAC地(di)(di)址(zhi)進行(xing)(xing)(xing)傳輸。所以，那個(ge)偽造(zao)(zao)出(chu)來的(de)(de)(de)(de)(de)MAC地(di)(di)址(zhi)在A上被(bei)改變成一(yi)個(ge)不(bu)存(cun)在的(de)(de)(de)(de)(de)MAC地(di)(di)址(zhi)，這(zhe)樣(yang)就會造(zao)(zao)成網(wang)(wang)絡(luo)不(bu)通，導致A不(bu)能Ping通C！這(zhe)就是(shi)(shi)一(yi)個(ge)簡單的(de)(de)(de)(de)(de)ARP欺騙。

ARP欺騙的種類
ARP欺騙作為黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。
第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了”。
一般來說，ARP欺騙攻擊的后果非常嚴重，大多數情況下會造成大面積掉線。有些網管員對此不甚了解，出現故障時，認為PC沒有問題，交換機沒掉線的“本事”，電信也不承認寬帶故障。而且如果第一種ARP欺騙發生時，只要重啟路由器，網絡就能全面恢復，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。