免费一级A在线亚洲永久无码电影秋霞日本天天视频欧美亚洲综合影院 ,67194日韩成人

本文目錄一覽

1，ARP工作原理
2，arp工作原理及怎樣進行arp攻擊
3，試述arp的工作原理
4，什么是ARP欺騙試述ARP欺騙實現(xiàn)原理
5，ARP的原理
6，arp原理是什么

1，ARP工作原理

通過路由，找到IP所在的網(wǎng)段，然后通過MAC地址表找到相對應(yīng)的mac地址

arp協(xié)議的基本功能就是通過目標設(shè)備的ip地址，查詢目標設(shè)備的mac地址，以保證通信的進行。基于arp協(xié)議的這一工作特性，黑客向?qū)Ψ接嬎銠C不斷發(fā)送有欺詐性質(zhì)的arp數(shù)據(jù)包，數(shù)據(jù)包內(nèi)包含有與當前設(shè)備重復的mac地址，使對方在回應(yīng)報文時，由于簡單的地址重復錯誤而導致不能進行正常的網(wǎng)絡(luò)通信。一般情況下，受到arp攻擊的計算機會出現(xiàn)兩種現(xiàn)象: 1.不斷彈出“本機的xxx段硬件地址與網(wǎng)絡(luò)中的xxx段地址沖突”的對話框。 2.計算機不能正常上網(wǎng)，出現(xiàn)網(wǎng)絡(luò)中斷的癥狀。因為這種攻擊是利用arp請求報文進行“欺騙”的，所以防火墻會誤以為是正常的請求數(shù)據(jù)包，不予攔截。因此普通的防火墻很難抵擋這種攻擊。

ARP工作原理

2，arp工作原理及怎樣進行arp攻擊

arp 工作原理將ip地址翻譯成mac地址比如 a機要與 b機通訊在局域網(wǎng)中處在數(shù)據(jù)鏈路層這個層之間的主機互相通訊是通過 mac地址互相區(qū)分的所以主機a 與主機b通訊主機a 知道主機b的 ip地址是不能通訊的那么主機a就要用 arp 協(xié)議通過廣播的方式去尋找主機 b的 mac地址當主機b 接收到 arp的廣播后就會主動與主機a聯(lián)系并告知主機a主機b的 mac地址是什么這樣主機a知道了主機b的 mac地址后就可以順利的與主機b通訊了進行 arp攻擊最直接的方法就是使用局域網(wǎng)中的一臺機器去欺騙這個局域網(wǎng)里的其他機器讓他們相信你使用的這臺機器就是其他機器想要保持通訊的網(wǎng)關(guān)

arp工作原理及怎樣進行arp攻擊

3，試述arp的工作原理

首先，每臺主機都會在自己的ARP緩沖區(qū)中建立一個 ARP列表，以表示IP地址和MAC地址的對應(yīng)關(guān)系。當源主機需要將一個數(shù)據(jù)包要發(fā)送到目的主機時，會首先檢查自己 ARP列表中是否存在該 IP地址對應(yīng)的MAC地址，如果有，就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包，查詢此目的主機對應(yīng)的MAC地址。此ARP請求數(shù)據(jù)包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。網(wǎng)絡(luò)中所有的主機收到這個ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機發(fā)送一個 ARP響應(yīng)數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果源主機一直沒有收到ARP響應(yīng)數(shù)據(jù)包，表示ARP查詢失敗。例如： A的地址為：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B的地址為：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB 根據(jù)上面的所講的原理，我們簡單說明這個過程：A要和B通訊，A就需要知道B的以太網(wǎng)地址，于是A發(fā)送一個ARP請求廣播（誰是192.168.10.2 ，請告訴192.168.10.1），當B收到該廣播，就檢查自己，結(jié)果發(fā)現(xiàn)和自己的一致，然后就向A發(fā)送一個ARP單播應(yīng)答（192.168.10.2 在BB-BB-BB-BB-BB-BB）。

試述arp的工作原理

4，什么是ARP欺騙試述ARP欺騙實現(xiàn)原理

由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網(wǎng)絡(luò)不通，導致A不能Ping通C！這就是一個簡單的ARP欺騙。首先，每臺主機都會在自己的ARP緩沖區(qū)中建立一個 ARP列表，以表示IP地址和MAC地址的對應(yīng)關(guān)系。當源主機需要將一個數(shù)據(jù)包要發(fā)送到目的主機時，會首先檢查自己 ARP列表中是否存在該 IP地址對應(yīng)的MAC地址，如果有，就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包，查詢此目的主機對應(yīng)的MAC地址。此ARP請求數(shù)據(jù)包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。網(wǎng)絡(luò)中所有的主機收到這個ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機發(fā)送一個 ARP響應(yīng)數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果源主機一直沒有收到ARP響應(yīng)數(shù)據(jù)包，表示ARP查詢失敗。例如： A的地址為：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B的地址為：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB 根據(jù)上面的所講的原理，我們簡單說明這個過程：A要和B通訊，A就需要知道B的以太網(wǎng)地址，于是A發(fā)送一個ARP請求廣播（誰是192.168.10.2 ，請告訴192.168.10.1），當B收到該廣播，就檢查自己，結(jié)果發(fā)現(xiàn)和自己的一致，然后就向A發(fā)送一個ARP單播應(yīng)答（192.168.10.2 在BB-BB-BB-BB-BB-BB）。

什么是arp arp（address resolution protocol）是地址解析協(xié)議，是一種將ip地址轉(zhuǎn)化成物理地址的協(xié)議。從ip地址到物理地址的映射有兩種方式：表格方式和非表格方式。arp具體說來就是將網(wǎng)絡(luò)層（也就是相當于osi的第三層）地址解析為數(shù)據(jù)鏈路層（也就是相當于osi的第二層）的物理地址(注:此處物理地址并不一定指mac地址)。 arp原理：某機器a要向主機b發(fā)送報文，會查詢本地的arp緩存表，找到b的ip地址對應(yīng)的mac地址后，就會進行數(shù)據(jù)傳輸。如果未找到，則廣播a一個arp請求報文（攜帶主機a的ip地址ia——物理地址pa），請求ip地址為ib的主機b回答物理地址pb。網(wǎng)上所有主機包括b都收到arp請求，但只有主機b識別自己的ip地址，于是向a主機發(fā)回一個arp響應(yīng)報文。其中就包含有b的mac地址，a接收到b的應(yīng)答后，就會更新本地的arp緩存。接著使用這個mac地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加mac地址）。因此，本地高速緩存的這個arp表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個緩存是動態(tài)的。 arp協(xié)議并不只在發(fā)送了arp請求才接收arp應(yīng)答。當計算機接收到arp應(yīng)答數(shù)據(jù)包的時候，就會對本地的arp緩存進行更新，將應(yīng)答中的ip和mac地址存儲在arp緩存中。因此，當局域網(wǎng)中的某臺機器b向a發(fā)送一個自己偽造的arp應(yīng)答，而如果這個應(yīng)答是b冒充c偽造來的，即ip地址為c的ip，而mac地址是偽造的，則當a接收到b偽造的arp應(yīng)答后，就會更新本地的arp緩存，這樣在a看來c的ip地址沒有變，而它的mac地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)ip地址進行，而是按照mac地址進行傳輸。所以，那個偽造出來的mac地址在a上被改變成一個不存在的mac地址，這樣就會造成網(wǎng)絡(luò)不通，導致a不能ping通c！這就是一個簡單的arp欺騙。 arp欺騙的種類 arp欺騙是黑客常用的攻擊手段之一，arp欺騙分為二種，一種是對路由器arp表的欺騙；另一種是對內(nèi)網(wǎng)pc的網(wǎng)關(guān)欺騙。第一種arp欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)mac地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的mac地址，造成正常pc無法收到信息。第二種arp欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的pc向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在pc看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。一般來說，arp欺騙攻擊的后果非常嚴重，大多數(shù)情況下會造成大面積掉線。有些網(wǎng)管員對此不甚了解，出現(xiàn)故障時，認為pc沒有問題，交換機沒掉線的“本事”，電信也不承認寬帶故障。而且如果第一種arp欺騙發(fā)生時，只要重啟路由器，網(wǎng)絡(luò)就能全面恢復，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。

5，ARP的原理

主機A的IP地址為192.168.1.1，MAC地址為0A-11-22-33-44-01；主機B的IP地址為192.168.1.2，MAC地址為0A-11-22-33-44-02；當主機A要與主機B通信時，地址解析協(xié)議可以將主機B的IP地址（192.168.1.2）解析成主機B的MAC地址，以下為工作流程：第1步：根據(jù)主機A上的路由表內(nèi)容，IP確定用于訪問主機B的轉(zhuǎn)發(fā)IP地址是192.168.1.2。然后A主機在自己的本地ARP緩存中檢查主機B的匹配MAC地址。第2步：如果主機A在ARP緩存中沒有找到映射，它將詢問192.168.1.2的硬件地址，從而將ARP請求幀廣播到本地網(wǎng)絡(luò)上的所有主機。源主機A的IP地址和MAC地址都包括在ARP請求中。本地網(wǎng)絡(luò)上的每臺主機都接收到ARP請求并且檢查是否與自己的IP地址匹配。如果主機發(fā)現(xiàn)請求的IP地址與自己的IP地址不匹配，它將丟棄ARP請求。第3步：主機B確定ARP請求中的IP地址與自己的IP地址匹配，則將主機A的IP地址和MAC地址映射添加到本地ARP緩存中。第4步：主機B將包含其MAC地址的ARP回復消息直接發(fā)送回主機A。第5步：當主機A收到從主機B發(fā)來的ARP回復消息時，會用主機B的IP和MAC地址映射更新ARP緩存。本機緩存是有生存期的，生存期結(jié)束后，將再次重復上面的過程。主機B的MAC地址一旦確定，主機A就能向主機B發(fā)送IP通信了。 ARP緩存是個用來儲存IP地址和MAC地址的緩沖區(qū)，其本質(zhì)就是一個IP地址-->MAC地址的對應(yīng)表，表中每一個條目分別記錄了網(wǎng)絡(luò)上其他主機的IP地址和對應(yīng)的MAC地址。每一個以太網(wǎng)或令牌環(huán)網(wǎng)絡(luò)適配器都有自己單獨的表。當?shù)刂方馕鰠f(xié)議被詢問一個已知IP地址節(jié)點的MAC地址時，先在ARP緩存中查看，若存在，就直接返回與之對應(yīng)的MAC地址，若不存在，才發(fā)送ARP請求向局域網(wǎng)查詢。為使廣播量最小，ARP維護IP地址到MAC地址映射的緩存以便將來使用。ARP緩存可以包含動態(tài)和靜態(tài)項目。動態(tài)項目隨時間推移自動添加和刪除。每個動態(tài)ARP緩存項的潛在生命周期是10分鐘。新加到緩存中的項目帶有時間戳，如果某個項目添加后2分鐘內(nèi)沒有再使用，則此項目過期并從ARP緩存中刪除；如果某個項目已在使用，則又收到2分鐘的生命周期；如果某個項目始終在使用，則會另外收到2分鐘的生命周期，一直到10分鐘的最長生命周期。靜態(tài)項目一直保留在緩存中，直到重新啟動計算機為止。地址解析協(xié)議是通過報文工作的。報文包括如下字段： ARP報文格式　　硬件類型　　協(xié)議類型硬件地址長度　　協(xié)議長度操作類型發(fā)送方硬件地址（0-3字節(jié)）發(fā)送方硬件地址（4-5字節(jié)）發(fā)送方IP地址（0-1字節(jié)）　　發(fā)送方IP地址（2-3字節(jié)）目標硬件地址（0-1字節(jié)）目標硬件地址（2-5字節(jié)）目標IP地址（0-3字節(jié)）硬件類型：指明了發(fā)送方想知道的硬件接口類型，以太網(wǎng)的值為1；協(xié)議類型：指明了發(fā)送方提供的高層協(xié)議類型，IP為0800（16進制）；硬件地址長度和協(xié)議長度：指明了硬件地址和高層協(xié)議地址的長度，這樣ARP報文就可以在任意硬件和任意協(xié)議的網(wǎng)絡(luò)中使用；操作類型：用來表示這個報文的類型，ARP請求為1，ARP響應(yīng)為2，RARP請求為3，RARP響應(yīng)為4；發(fā)送方硬件地址（0-3字節(jié)）：源主機硬件地址的前3個字節(jié)；發(fā)送方硬件地址（4-5字節(jié)）：源主機硬件地址的后3個字節(jié)；發(fā)送方IP地址（0-1字節(jié)）：源主機硬件地址的前2個字節(jié)；發(fā)送方IP地址（2-3字節(jié)）：源主機硬件地址的后2個字節(jié)；目標硬件地址（0-1字節(jié)）：目的主機硬件地址的前2個字節(jié)；目標硬件地址（2-5字節(jié)）：目的主機硬件地址的后4個字節(jié)；目標IP地址（0-3字節(jié)）：目的主機的IP地址。

在任何時候，當主機或路由器有數(shù)據(jù)報要發(fā)送給另一個主機或路由器時，它必須有接收站的邏輯（ip）地址。但是ip數(shù)據(jù)報必須封裝成幀才能通過物理網(wǎng)絡(luò)。這就表示，發(fā)送站必須有接收站的物理地址。因此需要一個從邏輯地址到物理地址的映射。如我們在前面講過的，使用靜態(tài)映射和動態(tài)映射都可以做到這點。邏輯地址和物理地址之間的關(guān)聯(lián)可以靜態(tài)的存儲在一個表中，發(fā)送站可在表中查找出對應(yīng)于邏輯地址的物理地址，但我們在前面已討論過，這不是一個很好的解決方法。每當物理地址發(fā)生變化時，這個表就必須更新。頻繁的在所有機器上對表進行更新是非常麻煩的任務(wù)。但這種映射可以做成為動態(tài)的，即發(fā)送站在需要時可以請求接收站宣布其物理地址。arp就是為此目的而設(shè)計的。 arp將一個ip地址與其物理地址關(guān)連起來。在典型的物理網(wǎng)絡(luò)上，如局域網(wǎng)，鏈路上的每一個設(shè)備通常是用寫在nic（網(wǎng)絡(luò)接口卡）中的物理地址來標識。任何時候當主機或路由器需要找出另一個主機或路由器在此網(wǎng)絡(luò)上的物理地址時，它就發(fā)送一個arp查詢分組。這個分組包括發(fā)送站的物理地址和ip地址，以及接收站的ip地址。因為發(fā)送站不知道接收站的物理地址，查詢就在網(wǎng)絡(luò)上廣播。每一個在網(wǎng)絡(luò)上的主機或路由器都接收和處理這個arp查詢分組，但只有目的接受者才識別其ip地址，并發(fā)回arp響應(yīng)分組。這個分組直接用單播發(fā)送給查詢者，并使用接收到的查詢分組中所用的物理地址。這里有一點要注意：每個arp廣播中都包含發(fā)送方的ip地址到物理地址的綁定；接收方在處理arp分組之前，先更新它們緩存中的ip到物理地址的綁定信息。左邊的系統(tǒng)（a）有一個分組要交付給ip地址為141.23.56.23的另一個系統(tǒng)（b）。系統(tǒng)a需要將分組傳遞給它的數(shù)據(jù)鏈路層進行實際的交付，但它不知道接收者的物理地址。它使用arp的服務(wù)，請求arp協(xié)議發(fā)送一個廣播arp請求分組，以查詢ip地址為141.23.56.23的系統(tǒng)的物理地址。在該物理網(wǎng)絡(luò)上的每一個系統(tǒng)都接收到此分組，但只有系統(tǒng)b才回答?，F(xiàn)在系統(tǒng)a就可以使用接收到的物理地址來發(fā)送所有的到此目的地的分組。

6，arp原理是什么

你說的基本上是對的，就是因為路由器能找不到它的信息而它的信息能發(fā)到路由器所以造成不能上網(wǎng)已達到欺騙的效果所以最好給自己的機子裝上arp防火墻我肯定你的說法呵呵

arp攻擊分為兩種一種是欺騙內(nèi)網(wǎng)客戶端,即中arp病毒的這臺主機以很高的頻率想局域網(wǎng)中不斷地發(fā)送錯誤的網(wǎng)關(guān)MAC-IP對應(yīng)關(guān)系（向局域網(wǎng)中的其他主機發(fā)送廣播說自己是網(wǎng)關(guān)）結(jié)果局域網(wǎng)中的其他主機將數(shù)據(jù)包都發(fā)向該中毒主機最終導致數(shù)據(jù)發(fā)送不出去而掉線；另一種是欺騙網(wǎng)關(guān)，即中毒的這臺機器以高頻率持續(xù)地向網(wǎng)關(guān)發(fā)送錯誤的內(nèi)網(wǎng)客戶端mac-ip對應(yīng)關(guān)系以改變網(wǎng)關(guān)的arp表（即告訴網(wǎng)關(guān)下面客戶端的mac對應(yīng)得ip地址都是自己）導致內(nèi)網(wǎng)發(fā)送到公網(wǎng)的數(shù)據(jù)在返回時都返回到中毒的這臺主機上，最終導致內(nèi)網(wǎng)的客戶端無法接受公網(wǎng)返回的數(shù)據(jù)而顯示掉線。目前市場上解決arp問題比較徹底的是欣向的免疫墻路由器，它獨有的免疫網(wǎng)路解決方案能夠徹底解決arp攻擊問題。欣向的免疫墻路由器具有先天免疫功能，通過對協(xié)議的改動將nat表和arp表融合，當有arp請求時將直接查詢nat表，使針對網(wǎng)關(guān)arp表的欺騙完全失去作用。終端裝有免疫網(wǎng)卡驅(qū)動，直接讀取燒錄在網(wǎng)卡上的mac地址，保證正確。過濾惡意的arp數(shù)據(jù)包以及其他常見的洪水攻擊，使網(wǎng)絡(luò)保持暢通。

不錯，已經(jīng)說的很詳細了

一、arp病毒 arp地址欺騙類病毒（以下簡稱arp病毒）是一類特殊的病毒，該病毒一般屬于木馬(trojan)病毒，不具備主動傳播的特性，不會自我復制。但是由于其發(fā)作的時候會向全網(wǎng)發(fā)送偽造的arp數(shù)據(jù)包，干擾全網(wǎng)的運行，因此它的危害比一些蠕蟲還要嚴重得多。二、arp病毒發(fā)作時的現(xiàn)象網(wǎng)絡(luò)掉線，但網(wǎng)絡(luò)連接正常，內(nèi)網(wǎng)的部分pc機不能上網(wǎng)，或者所有電腦不能上網(wǎng)，無法打開網(wǎng)頁或打開網(wǎng)頁慢，局域網(wǎng)時斷時續(xù)并且網(wǎng)速較慢等。三、arp病毒原理 3.1 網(wǎng)絡(luò)模型簡介眾所周知，按照osi (open systems interconnection reference model 開放系統(tǒng)互聯(lián)參考模型) 的觀點，可將網(wǎng)絡(luò)系統(tǒng)劃分為7層結(jié)構(gòu)，每一個層次上運行著不同的協(xié)議和服務(wù)，并且上下層之間互相配合，完成網(wǎng)絡(luò)數(shù)據(jù)交換的功能，如圖1：圖1 osi網(wǎng)絡(luò)體系模型然而，osi的模型僅僅是一個參考模型，并不是實際網(wǎng)絡(luò)中應(yīng)用的模型。實際上應(yīng)用最廣泛的商用網(wǎng)絡(luò)模型即tcp/ip體系模型，將網(wǎng)絡(luò)劃分為四層，每一個層次上也運行著不同的協(xié)議和服務(wù)，如圖2。圖2 tcp/ip四層體系模型及其配套協(xié)議上圖中，藍色字體表示該層的名稱，綠色字表示運行在該層上的協(xié)議。由圖2可見，我們即將要討論的arp協(xié)議，就是工作在網(wǎng)際層上的協(xié)議。 3.2 arp協(xié)議簡介我們大家都知道，在局域網(wǎng)中，一臺主機要和另一臺主機進行通信，必須要知道目標主機的ip地址，但是最終負責在局域網(wǎng)中傳送數(shù)據(jù)的網(wǎng)卡等物理設(shè)備是不識別ip地址的，只能識別其硬件地址即mac地址。mac地址是48位的，通常表示為12個16進制數(shù)，每2個16進制數(shù)之間用“-”或者冒號隔開，如：00-0b-2f-13-1a-11就是一個mac地址。每一塊網(wǎng)卡都有其全球唯一的mac地址，網(wǎng)卡之間發(fā)送數(shù)據(jù)，只能根據(jù)對方網(wǎng)卡的mac地址進行發(fā)送，這時就需要一個將高層數(shù)據(jù)包中的ip地址轉(zhuǎn)換成低層mac地址的協(xié)議，而這個重要的任務(wù)將由arp協(xié)議完成。 arp全稱為address resolution protocol，地址解析協(xié)議。所謂“地址解析”就是主機在發(fā)送數(shù)據(jù)包前將目標主機ip地址轉(zhuǎn)換成目標主機mac地址的過程。arp協(xié)議的基本功能就是通過目標設(shè)備的ip地址，查詢目標設(shè)備的mac地址，以保證通信的順利進行。這時就涉及到一個問題，一個局域網(wǎng)中的電腦少則幾臺，多則上百臺，這么多的電腦之間，如何能準確的記住對方電腦網(wǎng)卡的mac地址，以便數(shù)據(jù)的發(fā)送呢？這就涉及到了另外一個概念，arp緩存表。在局域網(wǎng)的任何一臺主機中，都有一個arp緩存表，該表中保存這網(wǎng)絡(luò)中各個電腦的ip地址和mac地址的對照關(guān)系。當這臺主機向同局域網(wǎng)中另外的主機發(fā)送數(shù)據(jù)的時候，會根據(jù)arp緩存表里的對應(yīng)關(guān)系進行發(fā)送。下面，我們用一個模擬的局域網(wǎng)環(huán)境，來說明arp欺騙的過程。 3.3 arp欺騙過程假設(shè)一個只有三臺電腦組成的局域網(wǎng)，該局域網(wǎng)由交換機(switch)連接。其中一個電腦名叫a，代表攻擊方；一臺電腦叫s，代表源主機，即發(fā)送數(shù)據(jù)的電腦；令一臺電腦名叫d，代表目的主機，即接收數(shù)據(jù)的電腦。這三臺電腦的ip地址分別為192.168.0.2，192.168.0.3，192.168.0.4。mac地址分別為mac_a，mac_s，mac_d。其網(wǎng)絡(luò)拓撲環(huán)境如圖3。圖3 網(wǎng)絡(luò)拓撲現(xiàn)在，s電腦要給d電腦發(fā)送數(shù)據(jù)了，在s電腦內(nèi)部，上層的tcp和udp的數(shù)據(jù)包已經(jīng)傳送到了最底層的網(wǎng)絡(luò)接口層，數(shù)據(jù)包即將要發(fā)送出去，但這時還不知道目的主機d電腦的mac地址mac_d。這時候，s電腦要先查詢自身的arp緩存表，查看里面是否有192.168.0.4這臺電腦的mac地址，如果有，那很好辦，就將封裝在數(shù)據(jù)包的外面。直接發(fā)送出去即可。如果沒有，這時s電腦要向全網(wǎng)絡(luò)發(fā)送一個arp廣播包，大聲詢問：“我的ip是192.168.0.3，硬件地址是mac_s，我想知道ip地址為192.168.0.4的主機的硬件地址是多少？” 這時，全網(wǎng)絡(luò)的電腦都收到該arp廣播包了，包括a電腦和d電腦。a電腦一看其要查詢的ip地址不是自己的，就將該數(shù)據(jù)包丟棄不予理會。而d電腦一看ip地址是自己的，則回答s電腦：“我的ip地址是192.168.0.4，我的硬件地址是mac_d”需要注意的是，這條信息是單獨回答的，即d電腦單獨向s電腦發(fā)送的，并非剛才的廣播?，F(xiàn)在s電腦已經(jīng)知道目的電腦d的mac地址了，它可以將要發(fā)送的數(shù)據(jù)包上貼上目的地址mac_d，發(fā)送出去了。同時它還會動態(tài)更新自身的arp緩存表，將192.168.0.4－mac_d這一條記錄添加進去，這樣，等s電腦下次再給d電腦發(fā)送數(shù)據(jù)的時候，就不用大聲詢問發(fā)送arp廣播包了。這就是正常情況下的數(shù)據(jù)包發(fā)送過程。這樣的機制看上去很完美，似乎整個局域網(wǎng)也天下太平，相安無事。但是，上述數(shù)據(jù)發(fā)送機制有一個致命的缺陷，即它是建立在對局域網(wǎng)中電腦全部信任的基礎(chǔ)上的，也就是說它的假設(shè)前提是：無論局域網(wǎng)中那臺電腦，其發(fā)送的arp數(shù)據(jù)包都是正確的。那么這樣就很危險了！因為局域網(wǎng)中并非所有的電腦都安分守己，往往有非法者的存在。比如在上述數(shù)據(jù)發(fā)送中，當s電腦向全網(wǎng)詢問“我想知道ip地址為192.168.0.4的主機的硬件地址是多少？”后，d電腦也回應(yīng)了自己的正確mac地址。但是當此時，一向沉默寡言的a電腦也回話了：“我的ip地址是192.168.0.4，我的硬件地址是mac_a” ，注意，此時它竟然冒充自己是d電腦的ip地址，而mac地址竟然寫成自己的！由于a電腦不停地發(fā)送這樣的應(yīng)答數(shù)據(jù)包，本來s電腦的arp緩存表中已經(jīng)保存了正確的記錄：192.168.0.4－mac_d，但是由于a電腦的不停應(yīng)答，這時s電腦并不知道a電腦發(fā)送的數(shù)據(jù)包是偽造的，導致s電腦又重新動態(tài)更新自身的arp緩存表，這回記錄成：192.168.0.4－mac_a，很顯然，這是一個錯誤的記錄（這步也叫arp緩存表中毒），這樣就導致以后凡是s電腦要發(fā)送給d電腦，也就是ip地址為192.168.0.4這臺主機的數(shù)據(jù)，都將會發(fā)送給mac地址為mac_a的主機，這樣，在光天化日之下，a電腦竟然劫持了由s電腦發(fā)送給d電腦的數(shù)據(jù)！這就是arp欺騙的過程。如果a這臺電腦再做的“過分”一些，它不冒充d電腦，而是冒充網(wǎng)關(guān)，那后果會怎么樣呢？我們大家都知道，如果一個局域網(wǎng)中的電腦要連接外網(wǎng)，也就是登陸互聯(lián)網(wǎng)的時候，都要經(jīng)過局域網(wǎng)中的網(wǎng)關(guān)轉(zhuǎn)發(fā)一下，所有收發(fā)的數(shù)據(jù)都要先經(jīng)過網(wǎng)關(guān)，再由網(wǎng)關(guān)發(fā)向互聯(lián)網(wǎng)。在局域網(wǎng)中，網(wǎng)關(guān)的ip地址一般為192.168.0.1。如果a這臺電腦向全網(wǎng)不停的發(fā)送arp欺騙廣播，大聲說：“我的ip地址是192.168.0.1，我的硬件地址是mac_a”這時局域網(wǎng)中的其它電腦并沒有察覺到什么，因為局域網(wǎng)通信的前提條件是信任任何電腦發(fā)送的arp廣播包。這樣局域網(wǎng)中的其它電腦都會更新自身的arp緩存表，記錄下192.168.0.1－mac_a這樣的記錄，這樣，當它們發(fā)送給網(wǎng)關(guān)，也就是ip地址為192.168.0.1這臺電腦的數(shù)據(jù)，結(jié)果都會發(fā)送到mac_a這臺電腦中！這樣，a電腦就將會監(jiān)聽整個局域網(wǎng)發(fā)送給互聯(lián)網(wǎng)的數(shù)據(jù)包！實際上，這種病毒早就出現(xiàn)過，這就是arp地址欺騙類病毒。一些傳奇木馬（trojan/psw.lmir）具有這樣的特性，該木馬一般通過傳奇外掛、網(wǎng)頁木馬等方式使局域網(wǎng)中的某臺電腦中毒，這樣中毒電腦便可嗅探到整個局域網(wǎng)發(fā)送的所有數(shù)據(jù)包，該木馬破解了《傳奇》游戲的數(shù)據(jù)包加密算法，通過截獲局域網(wǎng)中的數(shù)據(jù)包，分析數(shù)據(jù)包中的用戶隱私信息，盜取用戶的游戲帳號和密碼。在解析這些封包之后，再將它們發(fā)送到真正的網(wǎng)關(guān)。這樣的病毒有一個令網(wǎng)吧游戲玩家聞之色變的名字：“傳奇網(wǎng)吧殺手” 如果你還有問題的話，你可以找當?shù)氐木W(wǎng)絡(luò)管理人員和技術(shù)人員進行修理！

http://baike.baidu.com/view/700129.htm這里不是解釋的很清楚嗎！總的來說是局域網(wǎng)中有多個MAC地址和一個IP綁定了，導致數(shù)據(jù)包狂發(fā)

ARP攻擊的克星——免疫墻，目前唯一能徹底解決的就是免疫墻技術(shù)了，通過免疫墻技術(shù)部署免疫網(wǎng)絡(luò)解決方案。免疫網(wǎng)絡(luò)解決方案，對你的網(wǎng)絡(luò)不需要做大的改動，可以用免疫墻設(shè)置策略，不裝驅(qū)動不讓上網(wǎng)，裝了就攔截。就能直接從從網(wǎng)卡上面攔截每一臺電腦發(fā)出的病毒攻擊，進行統(tǒng)一管理，網(wǎng)絡(luò)管理員只有一個，還能監(jiān)控整個內(nèi)網(wǎng)電腦的上網(wǎng)狀況，有異常情況準確定位報警。