ARP（地址解析協(xié)議）是TCP/IP其中的一個(gè)協(xié)議，用來根據(jù)IP地址獲取MAC地址。

在一個(gè)局域網(wǎng)內(nèi)，某主機(jī)在發(fā)送消息時(shí)會(huì)將目標(biāo)IP地址的數(shù)據(jù)包通過ARP廣播到局域網(wǎng)內(nèi)每一臺(tái)主機(jī)上，并接受所有回應(yīng)的數(shù)據(jù)包，用以確定目標(biāo)IP地址與MAC地址的對(duì)應(yīng)，然后存入自己的ARP緩存一定時(shí)間，下次請(qǐng)求時(shí)直接從ARP緩存里查詢以便節(jié)約資源。但ARP緩存在老化時(shí)間過去后會(huì)重新發(fā)送ARP廣播請(qǐng)求報(bào)文，原理同上。也正是因?yàn)锳RP協(xié)議的這種機(jī)制，局域網(wǎng)內(nèi)出現(xiàn)了很多ARP攻擊。

常見的ARP防火墻可以有效的阻止攻擊，還是比較可靠的。具體的追蹤原理需要了解ARP攻擊的原理才能“見招拆招”，接下來通過Wireshark抓包軟件來介紹常見的ARP攻擊實(shí)例：

1、抓取ARP廣播報(bào)文。

2、查看其它主機(jī)的回應(yīng)。

3、ARP欺騙攻擊。

通過這個(gè)過程可以看出攻擊者的MAC地址為00:08:ca:86:f8:0f，對(duì)應(yīng)的IP地址應(yīng)該是10.1.20.253，但通過此攻擊，把自己偽裝成所有人，因此所有的通信都會(huì)經(jīng)過攻擊者，造成數(shù)據(jù)信息被截取。

常見的ARP防火墻可以通過ARP請(qǐng)求報(bào)文發(fā)送的頻率、MAC地址的頻繁變動(dòng)等信息判定為ARP攻擊，因此可以有效的阻止攻擊，但也不是萬能的。