常见ARP防火墙的攻击源追踪功能可靠吗？

ARP（地址解析协议）是TCP/IP其中的一个协议，用来根据IP地址获取MAC地址。

在一个局域网内，某主机在发送消息时会将目标IP地址的数据包通过ARP广播到局域网内每一台主机上，并接受所有回应的数据包，用以确定目标IP地址与MAC地址的对应，然后存入自己的ARP缓存一定时间，下次请求时直接从ARP缓存里查询以便节约资源。但ARP缓存在老化时间过去后会重新发送ARP广播请求报文，原理同上。也正是因为ARP协议的这种机制，局域网内出现了很多ARP攻击。

常见的ARP防火墙可以有效的阻止攻击，还是比较可靠的。具体的追踪原理需要了解ARP攻击的原理才能“见招拆招”，接下来通过Wireshark抓包软件来介绍常见的ARP攻击实例：

1、抓取ARP广播报文。

2、查看其它主机的回应。

3、ARP欺骗攻击。

通过这个过程可以看出攻击者的MAC地址为00:08:ca:86:f8:0f，对应的IP地址应该是10.1.20.253，但通过此攻击，把自己伪装成所有人，因此所有的通信都会经过攻击者，造成数据信息被截取。

常见的ARP防火墙可以通过ARP请求报文发送的频率、MAC地址的频繁变动等信息判定为ARP攻击，因此可以有效的阻止攻击，但也不是万能的。