這幾天差不多一直跟ARP攻擊者做斗爭， 那么什么是ARP呢？ARP（地址轉換協議）是一個重要的TCP/IP協議， 并且用于確定對應Ip地址的網卡物理地址（MAC地址）。 使用arp命令， 我們能夠查看本地計算機或另一臺計算機的ARp高速緩存中的當前內容。 此外， 使用arp命令， 也可以用人工方式輸入靜態的網卡物理/IP地址， 我們可能會使用這種方式為缺省網關和本地服務器等常用主機進行這項作， 有助于減少網絡上的信息量。

    但是MAC地址只能在本地網絡中使用， 假如我們的局域網中有子路由器， 那么這個路由器下的所有機器在訪問這個局域網的時候， 機器的網卡物理地址都會被路由器的MAC地址所代替。

    按照缺省設置， ARP高速緩存中的項目是動態的， 每當發送一個指定地點的數據報且高速緩存中不存在當前項目時， ARP便會自動添加該項目。 一旦高速緩存的項目被輸入， 它們就已經開始走向失效狀態。 例如， 在Windows NT/2000網絡中， 如果輸入項目后不進一步使用， 物理/Ip地址對就會在2至10分鐘內失效。 因此， 如果ARP高速緩存中項目很少或根本沒有時， 請不要奇怪， 通過另一臺計算機或路由器的ping命令即可添加。 所以， 需要通過arp命令查看高速緩存中的內容時， 請最好先ping 此臺計算機（不能是本機發送ping命令）。

    ARP常用命令選項：

    arp -a或arp –g

    用于查看高速緩存中的所有項目。 -a和-g參數的結果是一樣的， 多年來-g一直是UNIX平臺上用來顯示ARP高速緩存中所有項目的選項， 而Windows用的是arp -a（-a可被視為all， 即全部的意思）， 但它也可以接受比較傳統的-g選項。

         如果我們有多個網卡， 那么使用arp -a將分別顯示兩塊網卡的ARP高速緩存。

        arp -s IP 物理地址        我們可以向ARP高速緩存中人工輸入一個靜態項目。 該項目在計算機引導過程中將保持有效狀態， 或者在出現錯誤時， 人工配置的物理地址將自動更新該項目。

        arp -d IP        使用本命令能夠人工刪除一個靜態項目。

        基本的命令就是這樣的。 每個包都會將MAC地址發送到ARP高速緩存， 這樣的話， ARP攻擊者不就現身了嘛！