ARP协议：地址解析协议，将IP地址映射到MAC地址。

ARP缓存：每个主机都有存储IP地址和MAC地址的缓冲区。每条记录最长生存时间为10分钟，如果一条记录2分钟没有使用，则会被删除。如果始终在使用，再分配2分钟，直到最长生命周期为止。

动态添加：发送ARP请求后，若网络上的主机发现自己的IP与ARP请求中的IP一致，会将发送方的IP地址和MAC地址记录到本机缓存，并回应ARP响应。发送方收到响应后，将接收方的IP地址和MAC地址记录到本机缓存。等生命周期到了，自动删除。

静态添加：通过ARP命令手动添加，始终存在，重启机器后消失。

ARP命令：可以通过arp -a 或者 arp -g查看本机的arp表。也可手动添加、删除记录。

过程：

A主机向B主机发送数据，要封装IP报头（源IP、目的IP等），再封装以太报头（源MAC、目的MAC）。而A知道自己的IP地址和MAC地址，也知道B的IP地址，却不知道B的MAC地址。此时需要ARP协议得到接收方的MAC地址。

（1）首先查询A主机的ARP缓存，查看是否有与B的IP地址对应的记录。

（2）如果本地ARP缓存中没有该记录，向局域网中广播ARP请求（包括发送方的IP地址、MAC地址、接收方的IP地址），每台主机接收到ARP请求后都检查自己的IP地址是否与ARP请求中的接收方IP地址相同，若不相同则丢弃ARP请求包。

（3）若相同，则B主机将A的IP地址和MAC地址添加到本地ARP缓存，并将自己的MAC地址通过ARP响应报文发送给A主机。

（4）A收到ARP响应报文后，将B的IP地址和MAC地址添加到本地ARP缓存。

ARP攻击：

ARP是建立在网络中主机相互信任的基础之上，主机不对ARP响应进行真实性检查，直接添加到ARP缓存中。黑客可以向主机发送错误的ARP响应，从而使主机发送的数据都发送到黑客的主机，所以有很大的安全隐患。