ARPARP，即地址解析協(xié)議，實(shí)現(xiàn)通過IP地址得知其物理地址。在TCP/IP網(wǎng)絡(luò)環(huán)境下，每個(gè)主機(jī)都分配了一個(gè)32位的IP地址，這種互聯(lián)網(wǎng)地址是在網(wǎng)際范圍標(biāo)識(shí)主機(jī)的一種邏輯地址。為了讓報(bào)文在物理網(wǎng)路上傳送，必須知道對(duì)方目的主機(jī)的物理地址。這樣就存在把IP地址變換成物理地址的地址轉(zhuǎn)換問題。以以太網(wǎng)環(huán)境為例，為了正確地向目的主機(jī)傳送報(bào)文，必須把目的主機(jī)的32位IP地址轉(zhuǎn)換成為48位以太網(wǎng)的地址。這就需要在互連層有一組服務(wù)將IP地址轉(zhuǎn)換為相應(yīng)物理地址，這組協(xié)議就是ARP協(xié)議。另有電子防翻滾系統(tǒng)也稱為ARP。地址解析協(xié)議AddressResolutionProtocol基本功能在以太網(wǎng)協(xié)議中規(guī)定，同一局域網(wǎng)中的一臺(tái)主機(jī)要和另一臺(tái)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。而在TCP/IP協(xié)議棧中，網(wǎng)絡(luò)層和傳輸層只關(guān)心目標(biāo)主機(jī)的IP地址。這就導(dǎo)致在以太網(wǎng)中使用IP協(xié)議時(shí)，數(shù)據(jù)鏈路層的以太網(wǎng)協(xié)議接到上層IP協(xié)議提供的數(shù)據(jù)中，只包含目的主機(jī)的IP地址。于是需要一種方法，根據(jù)目的主機(jī)的IP地址，獲得其MAC地址。這就是ARP協(xié)議要做的事情。所謂地址解析（addressresolution）就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。另外，當(dāng)發(fā)送主機(jī)和目的主機(jī)不在同一個(gè)局域網(wǎng)中時(shí)，即便知道目的主機(jī)的MAC地址，兩者也不能直接通信，必須經(jīng)過路由轉(zhuǎn)發(fā)才可以。所以此時(shí)，發(fā)送主機(jī)通過ARP協(xié)議獲得的將不是目的主機(jī)的真實(shí)MAC地址，而是一臺(tái)可以通往局域網(wǎng)外的路由器的某個(gè)端口的MAC地址。于是此后發(fā)送主機(jī)發(fā)往目的主機(jī)的所有幀，都將發(fā)往該路由器，通過它向外發(fā)送。這種情況稱為ARP代理（ARPProxy）。工作原理在每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對(duì)應(yīng)的。以主機(jī)A（192.168.1.5）向主機(jī)B（192.168.1.1）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到目標(biāo)IP地址，主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，A主機(jī)MAC地址是“主機(jī)A的MAC地址”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問：“我是192.168.1.5，我的硬件地址是"主機(jī)A的MAC地址".請(qǐng)問IP地址為192.168.1.1的MAC地址是什么？”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問，只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出這樣的回應(yīng)：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。這樣，主機(jī)A就知道了主機(jī)B的MAC地址，它就可以向主機(jī)B發(fā)送信息了。同時(shí)A和B還同時(shí)都更新了自己的ARP緩存表（因?yàn)锳在詢問的時(shí)候把自己的IP和MAC地址一起告訴了B），下次A再向主機(jī)B或者B向A發(fā)送信息時(shí)，直接從各自的ARP緩存表里查找就可以了。ARP緩存表采用了老化機(jī)制（即設(shè)置了生存時(shí)間TTL），在一段時(shí)間內(nèi)（一般15到20分鐘）如果表中的某一行沒有使用，就會(huì)被刪除，這樣可以大大減少ARP緩存表的長(zhǎng)度，加快查詢速度。ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一個(gè)人感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。RARP的工作原理：1．發(fā)送主機(jī)發(fā)送一個(gè)本地的RARP廣播，在此廣播包中，聲明自己的MAC地址并且請(qǐng)求任何收到此請(qǐng)求的RARP服務(wù)器分配一個(gè)IP地址；2．本地網(wǎng)段上的RARP服務(wù)器收到此請(qǐng)求后，檢查其RARP列表，查找該MAC地址對(duì)應(yīng)的IP地址；3．如果存在，RARP服務(wù)器就給源主機(jī)發(fā)送一個(gè)響應(yīng)數(shù)據(jù)包并將此IP地址提供給對(duì)方主機(jī)使用；4．如果不存在，RARP服務(wù)器對(duì)此不做任何的響應(yīng)；5．源主機(jī)收到從RARP服務(wù)器的響應(yīng)信息，就利用得到的IP地址進(jìn)行通訊；如果一直沒有收到RARP服務(wù)器的響應(yīng)信息，表示初始化失敗。6．如果在第1-3中被ARP病毒攻擊，則服務(wù)器做出的反映就會(huì)被占用，源主機(jī)同樣得不到RARP服務(wù)器的響應(yīng)信息，此時(shí)并不是服務(wù)器沒有響應(yīng)而是服務(wù)器返回的源主機(jī)的IP被占用。數(shù)據(jù)結(jié)構(gòu)ARP協(xié)議的數(shù)據(jù)結(jié)構(gòu)：typedefstructarphdr{unsignedshortarp_hrd;/*硬件類型*/unsignedshortarp_pro;/*協(xié)議類型*/unsignedchararp_hln;/*硬件地址長(zhǎng)度*/unsignedchararp_pln;/*協(xié)議地址長(zhǎng)度*/unsignedshortarp_op;/*ARP操作類型*/unsignedchararp_sha[6];/*發(fā)送者的硬件地址*/unsignedlongarp_spa;/*發(fā)送者的協(xié)議地址*/unsignedchararp_tha[6];/*目標(biāo)的硬件地址*/unsignedlongarp_tpa;/*目標(biāo)的協(xié)議地址*/}ARPHDR,*PARPHDR;RARP反向地址解析協(xié)議反向地址解析協(xié)議用于一種特殊情況，如果站點(diǎn)被初始化后，只有自己的物理網(wǎng)絡(luò)地址而沒有IP地址，則它可以通過RARP協(xié)議，并發(fā)出廣播請(qǐng)求，征求自己的IP地址，而RARP服務(wù)器則負(fù)責(zé)回答。這樣無IP的站點(diǎn)可以通過RARP協(xié)議取得自己的IP地址，這個(gè)地址在下一次系統(tǒng)重新開始以前都有效，不用連續(xù)廣播請(qǐng)求。RARP廣泛用于獲取無盤工作站的IP地址。ARP緩存表查看方法ARP緩存表是可以查看的，也可以添加和修改。在命令提示符下，輸入“arp-a”就可以查看ARP緩存表中的內(nèi)容了，如附圖所示。用“arp-d”命令可以刪除ARP表中所有的內(nèi)容；用“arp-d+空格+<指定ip地址>”可以刪除指定ip所在行的內(nèi)容用“arp-s”可以手動(dòng)在ARP表中指定IP地址與MAC地址的對(duì)應(yīng)，類型為static(靜態(tài))，靜態(tài)ARP緩存除非手動(dòng)清除，否則不會(huì)丟失。無論是靜態(tài)還是動(dòng)態(tài)ARP緩存，重啟啟動(dòng)計(jì)算機(jī)后都會(huì)丟失。ARP欺騙其實(shí)，此起彼伏的瞬間掉線或大面積的斷網(wǎng)大都是ARP欺騙在作怪。ARP欺騙攻擊已經(jīng)成了破壞網(wǎng)吧經(jīng)營的罪魁禍?zhǔn)?，是網(wǎng)吧老板和網(wǎng)管員的心腹大患。從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為二種，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。一般來說，ARP欺騙攻擊的后果非常嚴(yán)重，大多數(shù)情況下會(huì)造成大面積掉線。有些網(wǎng)管員對(duì)此不甚了解，出現(xiàn)故障時(shí)，認(rèn)為PC沒有問題，交換機(jī)沒掉線的“本事”，電信也不承認(rèn)寬帶故障。而且如果第一種ARP欺騙發(fā)生時(shí)，只要重啟路由器，網(wǎng)絡(luò)就能全面恢復(fù)，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。作為網(wǎng)吧路由器的廠家，對(duì)防范ARP欺騙不得已做了不少份內(nèi)、份外的工作。一、在寬帶路由器中把所有PC的IP-MAC輸入到一個(gè)靜態(tài)表中，這叫路由器IP-MAC綁定。二、力勸網(wǎng)管員在內(nèi)網(wǎng)所有PC上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息，這叫PC機(jī)IP-MAC綁定。一般廠家要求兩個(gè)工作都要做，稱其為IP-MAC雙向綁定。顯示和修改“地址解析協(xié)議”(ARP)所使用的到以太網(wǎng)的IP或令牌環(huán)物理地址翻譯表。該命令只有在安裝了TCP/IP協(xié)議之后才可用。arp-a[inet_addr][-N[if_addr]arparp-dinet_addr[if_addr]arp-sinet_addrether_addr[if_addr]參數(shù)-a通過詢問TCP/IP顯示當(dāng)前ARP項(xiàng)。如果指定了inet_addr，則只顯示指定計(jì)算機(jī)的IP和物理地址。-g與-a相同。inet_addr以加點(diǎn)的十進(jìn)制標(biāo)記指定IP地址。-N顯示由if_addr指定的網(wǎng)絡(luò)界面ARP項(xiàng)。if_addr指定需要修改其地址轉(zhuǎn)換表接口的IP地址（如果有的話）。如果不存在，將使用第一個(gè)可適用的接口。-d刪除由inet_addr指定的項(xiàng)。-s在ARP緩存中添加項(xiàng)，將IP地址inet_addr和物理地址ether_addr關(guān)聯(lián)。物理地址由以連字符分隔的6個(gè)十六進(jìn)制字節(jié)給定。使用帶點(diǎn)的十進(jìn)制標(biāo)記指定IP地址。項(xiàng)是永久性的，即在超時(shí)到期后項(xiàng)自動(dòng)從緩存刪除。ether_addr指定物理地址。遭受ARP攻擊后現(xiàn)象ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時(shí)會(huì)突然掉線，過一段時(shí)間后又會(huì)恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯(cuò)，以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)中是通過身份認(rèn)證上網(wǎng)的，會(huì)突然出現(xiàn)可認(rèn)證，但不能上網(wǎng)的現(xiàn)象（無法ping通網(wǎng)關(guān)），重啟機(jī)器或在MS-DOS窗口下運(yùn)行命令arp-d后，又可恢復(fù)上網(wǎng)。ARP欺騙木馬只需成功感染一臺(tái)電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)都無法上網(wǎng)，嚴(yán)重的甚至可能帶來整個(gè)網(wǎng)絡(luò)的癱瘓。該木馬發(fā)作時(shí)除了會(huì)導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象外，還會(huì)竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號(hào)去做金錢交易，盜竊網(wǎng)上銀行賬號(hào)來做非法交易活動(dòng)等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經(jīng)濟(jì)損失。常用的維護(hù)方法搜索網(wǎng)上，目前對(duì)于ARP攻擊防護(hù)問題出現(xiàn)最多是綁定IP和MAC和使用ARP防護(hù)軟件，也出現(xiàn)了具有ARP防護(hù)功能的路由器。下面來了解以下三種方法：靜態(tài)綁定、Antiarp和具有ARP防護(hù)功能的路由器。靜態(tài)綁定最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定。欺騙是通過ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器，所以我們把ARP全部設(shè)置為靜態(tài)可以解決對(duì)內(nèi)網(wǎng)PC的欺騙，同時(shí)在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定，這樣雙向綁定才比較保險(xiǎn)。方法：對(duì)每臺(tái)主機(jī)進(jìn)行IP和MAC地址靜態(tài)綁定。通過命令，arp-s可以實(shí)現(xiàn)“arp–sIPMAC地址”。例如：“arp–s192.168.10.1AA-AA-AA-AA-AA-AA”。如果設(shè)置成功會(huì)在PC上面通過執(zhí)行arp-a可以看到相關(guān)的提示：InternetAddressPhysicalAddressType192．168.10.1AA-AA-AA-AA-AA-AAstatic(靜態(tài))一般不綁定,在動(dòng)態(tài)的情況下：InternetAddressPhysicalAddressType192．168.10.1AA-AA-AA-AA-AA-AAdynamic(動(dòng)態(tài))說明：對(duì)于網(wǎng)絡(luò)中有很多主機(jī)，500臺(tái)，1000臺(tái)...，如果我們這樣每一臺(tái)都去做靜態(tài)綁定，工作量是非常大的。，這種靜態(tài)綁定，在電腦每次重起后，都必須重新在綁定，雖然也可以做一個(gè)批處理文件，但是還是比較麻煩的！3．2使用ARP防護(hù)軟件目前關(guān)于ARP類的防護(hù)軟件出的比較多了，大家使用比較常用的ARP工具主要是欣向ARP工具，Antiarp等。它們除了本身來檢測(cè)出ARP攻擊外，防護(hù)的工作原理是一定頻率向網(wǎng)絡(luò)廣播正確的ARP信息。我們還是來簡(jiǎn)單說下這兩個(gè)小工具。3．2.1欣向ARP工具俺使用了該工具，它有5個(gè)功能：A.IP/MAC清單選擇網(wǎng)卡。如果是單網(wǎng)卡不需要設(shè)置。如果是多網(wǎng)卡需要設(shè)置連接內(nèi)網(wǎng)的那塊網(wǎng)卡。IP/MAC掃描。這里會(huì)掃描目前網(wǎng)絡(luò)中所有的機(jī)器的IP與MAC地址。請(qǐng)?jiān)趦?nèi)網(wǎng)運(yùn)行正常時(shí)掃描，因?yàn)檫@個(gè)表格將作為對(duì)之后ARP的參照。之后的功能都需要這個(gè)表格的支持，如果出現(xiàn)提示無法獲取IP或MAC時(shí)，就說明這里的表格里面沒有相應(yīng)的數(shù)據(jù)。B.ARP欺騙檢測(cè)這個(gè)功能會(huì)一直檢測(cè)內(nèi)網(wǎng)是否有PC冒充表格內(nèi)的IP。你可以把主要的IP設(shè)到檢測(cè)表格里面，例如，路由器，電影服務(wù)器，等需要內(nèi)網(wǎng)機(jī)器訪問的機(jī)器IP。(補(bǔ)充)“ARP欺騙記錄”表如何理解：“Time”：發(fā)現(xiàn)問題時(shí)的時(shí)間；“sender”：發(fā)送欺騙信息的IP或MAC；“Repeat”：欺詐信息發(fā)送的次數(shù)；“ARPinfo”：是指發(fā)送欺騙信息的具體內(nèi)容.如下面例子：timesenderRepeatARPinfo22:22:22192.168.1.221433192.168.1.1isat00:0e:03:22:02:e8這條信息的意思是：在22:22:22的時(shí)間，檢測(cè)到由192.168.1.22發(fā)出的欺騙信息，已經(jīng)發(fā)送了1433次，他發(fā)送的欺騙信息的內(nèi)容是：192.168.1.1的MAC地址是00:0e:03:22:02:e8。打開檢測(cè)功能，如果出現(xiàn)針對(duì)表內(nèi)IP的欺騙，會(huì)出現(xiàn)提示?？梢园凑仗崾静榈絻?nèi)網(wǎng)的ARP欺騙的根源。提示一句，任何機(jī)器都可以冒充其他機(jī)器發(fā)送IP與MAC，所以即使提示出某個(gè)IP或MAC在發(fā)送欺騙信息，也未必是100%的準(zhǔn)確。所有請(qǐng)不要以暴力解決某些問題。C.主動(dòng)維護(hù)這個(gè)功能可以直接解決ARP欺騙的掉線問題，但是并不是理想方法。他的原理就在網(wǎng)絡(luò)內(nèi)不停的廣播制定的IP的正確的MAC地址?！爸贫ňS護(hù)對(duì)象”的表格里面就是設(shè)置需要保護(hù)的IP。發(fā)包頻率就是每秒發(fā)送多少個(gè)正確的包給網(wǎng)絡(luò)內(nèi)所有機(jī)器。強(qiáng)烈建議盡量少的廣播IP，盡量少的廣播頻率。一般設(shè)置1次就可以，如果沒有綁定IP的情況下，出現(xiàn)ARP欺騙，可以設(shè)置到50－100次，如果還有掉線可以設(shè)置更高，即可以實(shí)現(xiàn)快速解決ARP欺騙的問題。但是想真正解決ARP問題，還是請(qǐng)參照上面綁定方法。arpD.欣向路由器日志收集欣向路由器的系統(tǒng)日志，等功能。E.抓包類似于網(wǎng)絡(luò)分析軟件的抓包，保存格式是.cap。Antiarp這個(gè)軟件界面比較簡(jiǎn)單，以下為我收集該軟件的使用方法。A.填入網(wǎng)關(guān)IP地址，點(diǎn)擊[獲取網(wǎng)關(guān)地址]將會(huì)顯示出網(wǎng)關(guān)的MAC地址。點(diǎn)擊[自動(dòng)防護(hù)]即可保護(hù)當(dāng)前網(wǎng)卡與該網(wǎng)關(guān)的通信不會(huì)被第三方監(jiān)聽。注意：如出現(xiàn)ARP欺騙提示，這說明攻擊者發(fā)送了ARP欺騙數(shù)據(jù)包來獲取網(wǎng)卡的數(shù)據(jù)包，如果您想追蹤攻擊來源請(qǐng)記住攻擊者的MAC地址，利用MAC地址掃描器可以找出IP對(duì)應(yīng)的MAC地址。B.IP地址沖突如頻繁的出現(xiàn)IP地址沖突，這說明攻擊者頻繁發(fā)送ARP欺騙數(shù)據(jù)包，才會(huì)出現(xiàn)IP沖突的警告，利用AntiARPSniffer可以防止此類攻擊。C.您需要知道沖突的MAC地址，Windows會(huì)記錄這些錯(cuò)誤。查看具體方法如下：右擊[我的電腦]--[管理]--點(diǎn)擊[事件查看器]--點(diǎn)擊[系統(tǒng)]--查看來源為[TcpIP]---雙擊事件可以看到顯示地址發(fā)生沖突，并記錄了該MAC地址，請(qǐng)復(fù)制該MAC地址并填入AntiARPSniffer的本地MAC地址輸入框中(請(qǐng)注意將：轉(zhuǎn)換為-)，輸入完成之后點(diǎn)擊[防護(hù)地址沖突]，為了使MAC地址生效請(qǐng)禁用本地網(wǎng)卡然后再啟用網(wǎng)卡，在CMD命令行中輸入Ipconfig/all，查看當(dāng)前MAC地址是否與本地MAC地址輸入框中的MAC地址相符，如果更改失敗請(qǐng)與我聯(lián)系。如果成功將不再會(huì)顯示地址沖突。注意：如果您想恢復(fù)默認(rèn)MAC地址，請(qǐng)點(diǎn)擊[恢復(fù)默認(rèn)],為了使MAC地址生效請(qǐng)禁用本地網(wǎng)卡然后再啟用網(wǎng)卡。具有ARP防護(hù)功能的路由器這類路由器以前聽說的很少，對(duì)于這類路由器中提到的ARP防護(hù)功能，其實(shí)它的原理就是定期的發(fā)送自己正確的ARP信息。但是路由器的這種功能對(duì)于真正意義上的攻擊，是不能解決的。ARP的最常見的特征就是掉線，一般情況下不需要處理一定時(shí)間內(nèi)可以回復(fù)正常上網(wǎng)，因?yàn)锳RP欺騙是有老化時(shí)間的，過了老化時(shí)間就會(huì)自動(dòng)的回復(fù)正?！，F(xiàn)在大多數(shù)路由器都會(huì)在很短時(shí)間內(nèi)不停廣播自己的正確ARP信息，使受騙的主機(jī)回復(fù)正常。但是如果出現(xiàn)攻擊性ARP欺騙(其實(shí)就是時(shí)間很短的量很大的欺騙ARP，1秒有個(gè)幾百上千的)，它是不斷的發(fā)起ARP欺騙包來阻止內(nèi)網(wǎng)機(jī)器上網(wǎng)，即使路由器不斷廣播正確的包也會(huì)被他大量的錯(cuò)誤信息給淹沒。可能你會(huì)有疑問：我們也可以發(fā)送比欺騙者更多更快正確的ARP信息??？如果攻擊者每秒發(fā)送1000個(gè)ARP欺騙包，那我們就每秒發(fā)送1500個(gè)正確的ARP信息！面對(duì)上面的疑問，我們仔細(xì)想想，如果網(wǎng)絡(luò)拓?fù)浜艽?，網(wǎng)絡(luò)中接了很多網(wǎng)絡(luò)設(shè)備和主機(jī)，大量的設(shè)備都去處理這些廣播信息，那網(wǎng)絡(luò)使用起來好不爽，再說了會(huì)影響到我們工作和學(xué)習(xí)。ARP廣播會(huì)造成網(wǎng)絡(luò)資源的浪費(fèi)和占用。如果該網(wǎng)絡(luò)出了問題，我們抓包分析，數(shù)據(jù)包中也會(huì)出現(xiàn)很多這類ARP廣播包，對(duì)分析也會(huì)造成一定的影響。ARP常見問題1.什么是ARPARP(AddressResolutionProtocol)是個(gè)地址解析協(xié)議。最白的說法是：在IP-以太網(wǎng)中，當(dāng)一個(gè)上層協(xié)議要發(fā)包時(shí)，有了節(jié)點(diǎn)的IP地址，ARP就能提供該節(jié)點(diǎn)的MAC地址。2.為什么要有ARP？