arp是什么

一、什么是ARP协议

ARP协议是“AddressResolutionProtocol”（地址解析协议）的缩写。在局域网中，网

络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和

另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如

何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标

IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，

查询目标设备的MAC地址，以保证通信的顺利进行。

二、ARP协议的工作原理

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是

一一对应的，如附表所示。

附表

我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主

机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC

地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相

对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“”，

这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络

上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：

“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC

地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机

B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段

时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，

加快查询速度。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大

量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目

标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP

木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造

成网内其它计算机的通信故障。

三、反向地址转换协议（RARP：ReverseAddressResolutionProtocol）

反向地址转换协议（RARP）允许局域网的物理机器从网关服务器的ARP表或者缓存上

请求其IP地址。网络管理员在局域网网关路由器里创建一个表以映射物理地址（MAC）

和与其对应的IP地址。当设置一台新的机器时，其RARP客户机程序需要向路由器上的

RARP服务器请求相应的IP地址。假设在路由表中已经设置了一个记录，RARP服务器

将会返回IP地址给机器，此机器就会存储起来以便日后使用。