以太网构建由 1500 个字节的块组成的数据帧。每个以太网数据帧头包括源 MAC 地址和
目的 MAC 地址。建造以太网数据帧，必须从 IP 数据包中开始。但在构建过程中，以太网并
不知道目标机器的MAC 地址，这就需要创建以太网头。唯一可用的信息就是数据包头中的目
标 IP地址。对于特定主机的数据包传输，以太网协议必须利用目标IP来查找目标MAC地址。
这就是 ARP地址解析协议。ARP用于定位与特定IP地址相关联的以太网地址。
地址解析协议（ARP 协议）是 RFC826 文档中定义的 TCP/ IP 标准。ARP 协议使用基于
TCP/IP 协议的软件将 IP 地址解析为局域网硬件使用的媒体访问控制地址即 MAC 地址。ARP
协议发送 ARP 数据包请求。ARP 则询问如下问题：“你的 IP地址是否是 x.x.x.x？如果是，
请将你的 MAC 地址返回”。这些数据包被广播到局域网中所有的计算机。每台计算机都会检
查该 ARP 请求，以确定其IP 地址是否相同，并返回包含 MAC 地址的 ARP 应答包。为了减少
ARP 广播请求的数量，操作系统会保存一份ARP 应答包的数据缓存。在发送广播请求之前，
发送请求的计算机要确保数据是否在ARP缓存中。如果是，则不需要广播ARP 请求，就可以
完成。检查 Windows、UNIX 或 Linux 操作系统中的缓存，必须使用 arp –a 命令。
ARP 表中条目通常保存一定时间，在超期后将再次通过发送ARP 应答被添加进来。当计算机
接收到 ARP应答时，则用新的IP / MAC协会更新ARP 缓存。

ARP 欺骗攻击
 
ARP是无状态的协议；如果操作系统在没有发送请求的情况下得到应答消息，那么大多
数操作系统都会更新其缓存。由于没有任何验证机制，网络上的任何主机都可以向目标主机
发送伪造的ARP应答，这样目标计算机就会将原本发送给计算机B的数据帧，发送给计算机
A。如果处理得当，计算机 A 并不会发现该变化过程。用伪造的条目更新目标计算机 ARP 缓
存的过程被称为“中毒”。通常，攻击者将其MAC地址与另一节点的IP地址（默认网关）关
联在一起（图2 所示）。该IP 地址（默认网关）的任何通信都会被错误地发送给攻击者。然

后攻击者就可以选择性地将数据流量转发至真正的默认网关或者在转发前修改数据。攻击者
还可以通过制造拒绝服务攻击，将不存在的MAC 地址与受害主机默认网关的IP 地址关联。

伪造的 ARP响应将会被定期地发送至受害主机，并且相比较受害者主机上的ARP缓存条
目的超时周期，欺骗响应的周期更短。这将确保受害者主机绝不会向那些攻击模仿其 IP 地
址的主机发送ARP 请求。
ARP 攻击嗅探
嗅探机制捕获网络中来自单一机器的所有或部分通信流量。地址解析协议（ARP）中毒
用于嗅探主机间的通信流量，如下图 3所示。攻击者用主机B 的 IP地址和 MAC 地址向主机
A 发送伪造的 ARP 数据包。攻击者还用主机 A 的 IP 地址和攻击者的 MAC 地址向主机 B 发送
伪造的 ARP数据包，那么主机 A和主机 B的所有通信都会流向攻击者，这样攻击者就可以嗅
探数据，而不是直接攻击受害主机。由于恶意用户扮演在两个目标主机之间传输的角色，所
以该攻击也称之为“中间人”攻击。

69
MAC洪水攻击 
这是另一种嗅探方法。该MAC 洪水攻击针对网络交换机的 ARP 缓存中毒技术。当某些交
换机超负荷运行时，则需要经常切换至“集线器“模式。在该模式中，交换机无法保证端口
安全性，并且只将所有的网络通信广播至每一个计算机。通过向交换机ARP表发送大量伪造
的 ARP应答，制造洪水攻击，那么攻击者就可以重载交换机，并且当交换机处于集线器模式
时，进行数据包嗅探任务。
广播
通过将目标地址设置为“FF:FF:FF:FF:FF:FF”，即广播MAC地址，数据帧可以被广播到
整个网络中。通过用伪造的ARP应答加载网络，该应答将网关的MAC 地址设置为广播地址，
所有的通信数据都将被广播，从而进行嗅探攻击。
拒绝服务攻击
用不存的 MAC 地址更新ARP缓存将导致数据帧的丢失。例如，攻击者可以发送一个ARP