1、什么是ARP協議

ARP協議全程地址解析協議（AddressResolution Protocol，ARP）是在僅知道主機的IP地址時確定其物理地址的一種協議。因IPv4和以太網的廣泛應用，其主要作用是通過已知IP地址，獲取對應物理地址的一種協議。

2、什么是ARP代理（ARP proxy）

在網絡中代理是非常常見的，所謂的代理就是我朝一個人要，另外一個人給。生活中一個比較實際的例子就是，房屋中介。

Arp協議要求通信的主機的雙方必須是在物理的同一個網段。那如果發送主機和目標主機不是在同一個局域網里，而ARP廣播包是不能夠跨越網段進行傳輸的。所以此時就需要一個路由或ARP中繼技術來轉發ARP請求包。客戶端獲取到的mac地址是路由器或者中繼的MAC地址。那么之后這個客戶端發給目的端的數據，都會先發給這個路由器或ARP中繼，再進而轉給目的端，這種情況就稱為ARP代理。

3、arp協議工作原理

原理圖：

當主機10.0.0.1要發送數據給10.0.0.2數據，會首先去查本地的arp緩存表，如果有此IP地址和此主機對應的MAC地址，如果有就可以直接傳輸數據。如果沒有就主機10.0.0.1就會向局域網去廣播，詢問誰的IP地址是10.0.0.2.此時在本局域網中的所有主機都能夠收到此廣播包，但只有主機10.0.0.2才會回應這個廣播包。會以單播的形式直接回復10.0.0.2說我的MAC地址為多少。此時10.0.0.1收到了此信息，那么兩者之間就能夠通過MAC地址進行通信了。并且將這個ARP和IP對應信息緩存到ARP緩存表里。

4、ARP欺騙工作原理：

ARP欺騙就是通過偽造IP地址和MAC地址對實現ARP欺騙的，它能夠在網絡中產生大量的ARP包，來讓網絡堵塞。攻擊主機只要持續的發送假的ARP包，讓網絡中的主機緩存錯誤的IP-MAC對應信心，造成網絡中斷或中間人攻擊。

ARP攻擊主要是在局域網中的，因為ARP包是不會垮網絡傳播的。所以劃分VLAN能夠減少當受到ARP攻擊后，網絡受影響的范圍。

ARP欺騙過程圖及講解：

ARP欺騙防御辦法

1）進行MAC和IP地址進行綁定

2）殺毒軟件開啟arp防火墻

ARP病毒排查

1）使用arp ?a命令查看本地arp緩存表，查看重復MAC地址或在交換機路由器上查看重復MAC地址。

2）使用ARP防御軟件或檢測軟件（如：科萊，彩影arp防火墻分析流量，查找可以攻擊源）

3）使用折半法排除網絡出錯范圍。（如先斷開一般的網絡查看是否正常，如果正常就說明斷開的那部分有問題。然后再接上剩下的那一半繼續查看，依次類推最終找到問題點）

當然排查、預防ARP攻擊的方法有很多，大家可以自己尋找。

轉自：https://my.oschina.net/mxs/blog/596559