ARP攻击是指攻击者通过伪造ARP应答包欺骗目标机器，使其将正常的MAC地址和对应的IP地址信息替换为攻击者制定的MAC地址和IP地址，从而使攻击者可以窃取数据或者实现中间人攻击等恶意行为。防范ARP攻击的方法包括：使用静态ARP表、启用ARP检测、使用ARP防火墙、使用交换机的安全端口、使用VPN等。

ARP攻击的原理、现象和解决方法

ARP协议原理

ARP（Address Resolution Protocol）是一种将IP地址转化成物理地址的协议。在从IP地址到物理地址的映射中，有两种方式：表格方式和非表格方式。ARP则是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。当机器A要向主机B发送报文时，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播ARP请求报文请求IP地址为Ib的主机B回答物理地址Pb。其他主机都会接收到ARP请求，但只有主机B能够回答该请求。B向A发回一个ARP响应报文，其中包含B的MAC地址。接着，A主机会更新和使用这个MAC地址发送数据。

ARP协议并不只在发送了ARP请求后才会接收ARP应答。当计算机接收到ARP应答数据包时，就会更新本地ARP缓存，将应答中的IP和MAC地址存储在ARP缓存中。因此，当某台机器B伪造另一台机器C的MAC地址时，如果它向A发送这个假的MAC地址并被A接收到，那么A就会更新本地的ARP缓存。这种ARP欺骗会导致网络不通，因为局域网的网络流通是按照MAC地址而不是IP地址。因此，这种假的MAC地址在A主机上会变成一个不存在的MAC地址，也就造成了网络不通。

利用ARP攻击限制网络访问

网络执法官利用的就是ARP协议原理，以限制某台电脑的网络访问。它的原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC地址，使其找不到网关真正的MAC地址，从而禁止其上网。这可以通过修改MAC地址改变IP地址到MAC地址的映射来突破。我们可以在注册表中修改MAC地址，并利用ARP -s命令将IP地址和MAC地址映射起来，解除网络封锁。

利用Arpkiller找到对方计算机

在突破网络封锁后，我们还可以利用Arpkiller的“Sniffer杀手”工具扫描整个局域网IP段，然后查找处在“混杂”模式下的计算机来找到对方。具体方法是：运行Arpkiller，点击“Sniffer监测工具”，输入检测的起始和终止IP，开始检测。如果检测到某个IP地址处于混杂模式下，它就是我们的目标，我们可以利用网络执法官将其也给封锁了。