ARP(Address Resolution Protocol，地址解析协议)是获取物理地址的一个TCP/IP协议，它的作用是完成IP地址（互联网协议地址Internet Protocol Address，又译为网际协议地址，在Internet上，一种给主机编址的方式。常见的IP地址，分为IPv4与IPv6两大类。）到物理地址（MAC）的转化。RARP(逆向ARP)经常在无盘工作站上使用，以获得它的逻辑IP地址。Windows的arp命令如下图所示：

    在局域网中两台计算机之间的通讯或者局域网中的计算机将IP数据报转发给网关的时候，网卡都需要知道目标计算机的物理地址，以填充物理帧中的目的地址。ARP攻击正式利用了这一点，将自身的MAC填入正常的ARP协议会话中，以达到欺骗和攻击的目的。我们一般认为ARP协议在发送ARP请求后才会等候发挥的ARP应答，但实际上主机时刻都在帧听由网络传来的ARP应答而不会检查这个ARP应答是不是发给自己。当主机接收到ARP应答数据包的时候，就会立刻对本机ARP缓存进行更新，将应答数据包中的IP地址和MAC地址存放在ARP缓存中。当有人进行ARP欺骗时，发出一个伪造的ARP应答数据包，网络就会出现一些问题。ARP欺骗的某一方往往是网关。欺骗一般分为两种：1.欺骗主机作为中间机，主机的数据会经它进出中转一番可一切渠道被它欺骗的主机间的所有通信数据；2.使被欺骗主机直接断网。有人利用ARP攻击的原理，制作了一些所谓的“管理软件”，例如网络剪刀手、执法官、终结者等，这样就导致了ARP恶意攻击的泛滥。往往使用这种软件的人，以恶意破坏为目的，多是为了让别人断线，逞一时之快。
    ARP本省不能造成多大的危害，一旦被结合利用，其危险性就不可估量了，由于ARP本身的问题，使得防范ARP的攻击很棘手，经常查看当前的网络状态，监控流量是一个很有效的方法。因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。常用防护方法此处介绍四种。
    1.IP+MAC访问控制，校园网上网必须绑定IP和MAC正是利用这个方法；
    2.静态ARP缓存表，ARP通过更改一个临时放置IP-MAC的对应表来达到欺骗目的，因此，试用静态的ARP来绑定正确的MAC是一个有效的方法。但目前的ARP病毒层出不穷，此方法已不能简单的解决问题。下图为本机ARP的部分内容：

    3.禁止ARP，通过ipconfig interface –arp 完全禁止ARP，这样，网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表，如果不在ARP表中的计算机，将不能通信。这个方法不适用与大多数网络环境，因为这增加了网络管理的成本。但是对小规模的安全网络来说，还是有效可行的。