最近网络中有主机频繁断线，刚刚开始还比较正常，但是一段时间后就出现断线情况，有时很快恢复，但是有时要长达好几分钟啊，这样对工作影响太大了。最初怀疑是否是物理上的错误，总之从最容易下手的东西开始检查，检查完毕后没有发现异常！突然想到目前网上比较流行的ARP攻击，ARP攻击出现的故障情况与此非常之相似！对于ARP攻击，一般常规办法是很难找出和判断的，需要抓包分析。

1.原理知识

在解决问题之前，我们先了解下ARP的相关原理知识。

ARP原理：

首先，每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有?就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。