主機在兩種情況下會保存、更新本機的ARP緩存表.

1. 接收到“ARP廣播-請求”包時

2. 接收到“ARP非廣播-回復”包時

從中我們可以看出， ARP協議是沒有身份驗證機制的， 局域網內任何主機都可以隨意偽造ARP數據包， ARP協議設計天生就存在嚴重缺陷。

假設局域網內有以下三臺主機（其中GW指網關）， 主機名、IP地址、MAC地址分別如下：

主機名   IP地址          MAC地址        GW       192.168.0.1     01-01-01-01-01-01        PC02     192.168.0.2     02-02-02-02-02-02        PC03     192.168.0.3     03-03-03-03-03-03

在正常情況下， 主機PC02與GW之間的數據流向， 以及它們各自的ARP緩存表如下圖所示：

當網絡愛好者， 主機PC03出現之后， 他為了達到某種目的， 于是決定實施一次ARP欺騙攻擊。 PC03首先向PC02發送了一個ARP數據包， 作用相當于告訴PC02：“嘿， 我是192.168.0.1， 我的MAC地址是03-03-03-03-03-03”， 接著他也向GW發送了一個ARP數據包， 作用相當于告訴GW：“嘿， 我是192.168.0.2， 我的MAC地址是03-03-03-03-03-03”。 于是， 主機PC02與GW之間的數據流向， 以及它們各自的ARP緩存表就變成如下圖所示：

從上圖我們可以看出， ARP欺騙之后， 主機PC02與GW之間的所有網絡數據都將流經PC03， 即PC03已經掌控了它們之間的數據通訊。 以上就是一次ARP欺騙的實施過程， 以及欺騙之后的效果。

ARP欺騙根據欺騙對象的不用可以分為三種：

1. 只欺騙受害主機。 實施欺騙后效果如下：

2. 只欺騙路由器、網關。 實施欺騙后效果如下：

3. 雙向欺騙， 即前面兩種欺騙方法的組合使用。 實施欺騙后的效果如下：

ARP欺騙帶來的危害可以分為幾大類：

1. 網絡異常。 具體表現為：掉線、IP沖突等。

2. 數據竊取。 具體表現為：個人隱私泄漏（如MSN聊天記錄、郵件等）、賬號被盜用（如QQ賬號、銀行賬號等）。

3. 數據篡改。 具體表現為：訪問的網頁被添加了惡意內容， 俗稱“掛馬”。

4. 非法控制。 具體表現為：網絡速度、網絡訪問行為（例如某些網頁打不開、某些網絡應用程序用不了）受第三者非法控制。 ARP欺騙根據發起個體的不同可以分為兩類，

(1). 人為攻擊。 人為攻擊的目的主要是：造成網絡異常、竊取數據、非法控制。

(2). ARP病毒。 ARP病毒不是特指某一種病毒， 而是指所有包含有ARP欺騙功能的病毒的總稱。 ARP病毒的目的主要是：竊取數據（盜號等）、篡改數據（掛馬等）。

針對arp病毒泛濫， 可在交換上做以下設置：

華為交換機：可在接入層或匯聚層交換機封源mac地址

int 某端口

mac-address backhole **************

港灣交換機：可在匯聚層做acl

service acl enable

create acl deny_mac mac-ip destination any any source ************** any deny ports any predence 60

其中******************表示mac地址